Geekly articles weekly

Pentesting Azure - Gedanken zur Sicherheit im Cloud Computing

Vor einigen Monaten habe ich mit einem Kunden zusammengearbeitet, wie ein Team die Sicherheit seiner Azure-Implementierung bewerten soll. Ich hatte noch nie zuvor einen Pentest (umfangreiche Sicherheitstests) für eine Azure-Anwendung durchgeführt, daher waren diese Ideen zu diesem Zeitpunkt aufgrund meiner Sicherheitserfahrung nur ein Gedanke .

Das Buch von Matt Burrough , Pentesting Azure Application s, geht noch tiefer und es ist ein Muss für Sicherheitsexperten, die sich auf Cloud Computing konzentrieren. Ich lese es gerade.

Im Folgenden teile ich Ihnen diese Gedanken vor dem Buch mit und werde sie in einem zukünftigen Artikel mit denen vergleichen, die ich nach dem Lesen von Matts Buch lernen oder bestätigen werde.


Original auf Medium

Hier ist die Liste der Gedanken zur Azure-Sicherheit, die ich vor dem Lesen von Matts Buch hatte. Sie können unten weitere Kommentare zu anderen Dingen abgeben, die Azure-Benutzer überprüfen sollten, um sicherzustellen, dass ihre Azure-Bereitstellung sicher ist.


  1. Testen Sie die Azure-Infrastruktur nicht. Dies verstößt gegen die Benutzervereinbarung für Azure und bringt Sie mit Microsoft ins heiße Wasser. Das will niemand.
  2. Seien Sie äußerst vorsichtig, um nur Dinge zu testen, die für Ihren Kunden in Reichweite sind.
  3. Ist das Azure Security Center aktiviert? Wenn nicht, schalten Sie es ein . Ich ASC.
  4. Haben alle Abonnements / Unterabonnements es aktiviert? Haben Sie eine vollständige Abdeckung? Wenn nicht, melden Sie es auf jeden Fall.
  5. Gibt es einen Richtliniensatz (Einstellungen, die die Organisation als "sicher" ausgewählt hat, z. B. muss der gesamte Speicher im Ruhezustand verschlüsselt werden)? Wenn ja, wie lauten die Einstellungen? Sehen sie gut aus? Welchen Grad an Compliance haben sie auch? Alles, was nicht konform ist, sollte gemeldet werden.
  6. Ist für jede mögliche Ressource ein Schutz vor Bedrohungen (nur Speicher und Datenbanken), Überwachung und Überwachung eingerichtet? Wenn nicht, melden Sie es.
  7. Schauen Sie sich das Netzwerk an, so wie Sie es bei einem herkömmlichen Netzwerk sehen würden. Ist etwas fehl am Platz? Machen sie auch Zoning oder Zero-Trust oder etwas anderes? Welches Netzwerksicherheitsmodell verwenden sie? Stellen Sie sicher, dass sie ihrem eigenen Plan entsprechen. Fragen Sie sie, wie ihr Netzwerk aussehen soll. Wenn sie keine Antwort haben, ist das ein ganz anderes Problem.
  8. Haben sie "Just in Time" (JIT) an allen Ports aller Server / VMs eingerichtet? Oder verwenden sie eine JumpBox, um von außerhalb von Azure auf VMs zuzugreifen? Oder ist das überhaupt nicht erlaubt? Sie sollten JIT und Network Security Groups (NSGs) für * alles * verwenden.
  9. Ist die Whitelist für Apps auf VMs aktiviert? Es heißt Adaptive Application Controls und befindet sich direkt unter JIT im Menü des Security Centers (ASC) unter „Advanced Cloud Defense“. Sie sollten das für * alle * Server aktiviert haben.
  10. Verwenden sie ein SIEM (Security Incident and Event Management System)? Verwenden sie es gut? Überwachen sie es? Welche Art von Berichterstattung erhält es? Wird ASC eingespeist? Es sollte.
  11. Verwenden sie eine WAF (Web Application Firewall)? Wenn ja, testen Sie es. Wenn dies nicht der Fall ist, markieren Sie es als Verbesserungsvorschlag.
  12. Andere Sicherheitstools von Drittanbietern (IPS / IDS / HIPS / Andere)? Wenn ja, erhalten diese eine vollständige Abdeckung aller Vermögenswerte, die von diesem Test abgedeckt werden? Und sind sie gut konfiguriert?
  13. Suchen Sie im Azure Security Center auf der Registerkarte "Empfehlungen" nach allen Problemen (Netzwerkprobleme, Konfigurationsfehler, fehlende Patches usw.), die Sie noch nicht entdeckt haben. Wirklich, Sie könnten wahrscheinlich hier anfangen. Dies ist eine Liste von allem, was nicht mit Ihrer Richtlinie übereinstimmt, in der Reihenfolge ihrer Wichtigkeit.
  14. Wenn Sie Webanwendungen in Azure, APIs und Funktionen (ohne Server) bewerten, ist dies ein ganz anderes Thema, aber alle regulären Regeln für Sicherheitstests gelten, ob Azure oder nicht.
  15. Wenn Ihre Organisation Azure DevOps verwendet, empfehle ich, Ihrer Pipeline mehrere Sicherheitstests hinzuzufügen, einschließlich Azure Secure DevOps Kit . Es ist streng; Sie werden die ersten Male wahrscheinlich nicht weitergeben, also bereiten Sie Ihre Entwickler auf ein bisschen Enttäuschung vor. Auf dem Azure Marketplace gibt es eine Menge großartiger Sicherheitstools. Fügen Sie einige hinzu, eines reicht nicht aus.
  16. Aktivieren Sie VA für SQL-Datenbanken als Teil des Azure-Bedrohungsschutzes und starten Sie sofort einen Scan, um festzustellen, ob etwas passiert. Es wird wahrscheinlich viele Ratschläge für Sie haben.
  17. Überprüfen Sie im Bereich "Bedrohungserkennung" des Sicherheitscenter, ob keine aktiven oder kürzlich erfolgten Angriffe stattfinden, und untersuchen Sie dies entsprechend.

Bleiben Sie dran, um mehr (und wahrscheinlich bessere) Ratschläge zu erhalten, nachdem ich Matt Burroughs Buch gelesen habe!

Source: https://habr.com/ru/post/de441450/

More articles:


All Articles