Geekly articles weekly

Pentesting Azure - Réflexions sur la sécurité dans le cloud computing

Il y a quelques mois, j'ai travaillé avec un client sur la manière dont une équipe devrait évaluer la sécurité de leur implémentation Azure. Je n'avais jamais fait de pentest (test de sécurité approfondi) sur une application Azure auparavant, donc ces idées n'étaient que des idées qui me venaient du haut de la tête à ce moment-là en fonction de mon expérience en matière de sécurité.

Le livre de Matt Burrough , Pentesting Azure Application s, va encore plus loin et c'est une lecture incontournable pour les experts en sécurité spécialisés dans le cloud computing, je le lis en ce moment.

Ci-dessous, je partage avec vous ces réflexions pré-livre, et les comparerai dans un futur article avec celles que j'apprendrai - ou confirmerai - après avoir lu le livre de Matt.


Original sur support

Voici donc la liste des réflexions sur la sécurité Azure que j'avais avant de lire le livre de Matt. N'hésitez pas à commenter ci-dessous d'autres éléments que les utilisateurs Azure devraient vérifier pour s'assurer que leur déploiement Azure est sécurisé.


  1. Ne testez pas l'infrastructure Azure. Cela constitue une violation de l'accord utilisateur pour Azure et vous mettra dans l'eau chaude avec Microsoft. Personne ne veut ça.
  2. Soyez extrêmement prudent pour ne tester que les choses IN SCOPE pour votre client.
  3. Azure Security Center est-il activé? Sinon, allumez-le . Je ASC.
  4. Tous les abonnements / sous-abonnements sont-ils activés? Avez-vous une couverture complète? Sinon, signalez-le définitivement.
  5. Existe-t-il un ensemble de règles (les paramètres que l'organisation a choisis comme «sécurisés», tels que tout le stockage doit être chiffré au repos)? Si oui, quels sont les paramètres? Est-ce qu'ils ont l'air bien? De plus, quel niveau de conformité ont-ils? Tout ce qui n'est pas conforme doit être signalé.
  6. La protection contre les menaces (stockage et bases de données uniquement), la surveillance et l'audit sont-ils configurés sur toutes les ressources possibles? Sinon, signalez-le.
  7. Regardez le réseau, de la même manière que vous regarderiez un réseau traditionnel, est-ce que quelque chose ne va pas? En outre, font-ils du zonage ou de la confiance zéro ou autre chose? Quel modèle de sécurité réseau utilisent-ils? Assurez-vous qu'ils sont conformes à leur propre plan. Demandez-leur quel est leur plan de démarrage de leur réseau. S'ils n'ont pas de réponse, c'est un autre problème.
  8. Ont-ils mis en place «juste à temps» (JIT) sur tous les ports sur tous les serveurs / machines virtuelles? Ou utilisent-ils une JumpBox pour accéder aux machines virtuelles depuis l'extérieur d'Azure? Ou n'est-ce pas du tout permis? Ils doivent utiliser JIT et les groupes de sécurité réseau (NSG) pour * tout *.
  9. La liste blanche des applications est-elle activée sur les machines virtuelles? Il s'appelle Adaptive Application Controls et se trouve juste sous JIT dans le menu du centre de sécurité (ASC), sous «Advanced Cloud Defense». Ils devraient l'activer pour * tous * les serveurs.
  10. Utilisent-ils un SIEM (Security incident and event management system)? L'utilisent-ils bien? Le surveillent-ils? Quel type de couverture obtient-elle? ASC y alimente-t-il? Ça devrait.
  11. Utilisent-ils un WAF (Web Application Firewall)? Si oui, testez-le. Si ce n'est pas le cas, marquez-le comme un conseil d'amélioration.
  12. D'autres outils de sécurité tiers (IPS / IDS / HIPS / Autre)? Si oui, ceux-ci bénéficient-ils d'une couverture complète de tous les actifs couverts par ce test? Et sont-ils bien configurés?
  13. Regardez dans l'onglet «Recommandations» d'Azure Security Center et il vous indiquera tous les problèmes (problèmes de réseau, erreurs de configuration, correctifs manquants, etc.) que vous n'avez pas encore repérés. Vraiment, vous pourriez probablement commencer ici. Voici une liste de tout ce qui n'est pas conforme à votre politique, par ordre d'importance.
  14. Si vous évaluez des applications Web dans Azure, des API et des fonctions (sans serveur), c'est un tout autre sujet, mais toutes les règles de test de sécurité régulières s'appliqueraient, Azure ou non.
  15. Si votre organisation utilise Azure DevOps, je suggère d'ajouter plusieurs tests de sécurité à votre pipeline, y compris Azure Secure DevOps Kit . C'est strict; vous ne passerez probablement pas les premières fois, alors préparez vos développeurs à un peu de déception. Il y a une tonne d'excellents outils de sécurité sur Azure Marketplace, ajoutez-en quelques-uns, un n'est pas suffisant.
  16. Activez VA pour SQL DataBases dans le cadre de la protection contre les menaces Azure et lancez immédiatement une analyse pour voir si quelque chose se passe. Il aura probablement beaucoup de conseils à vous donner.
  17. Regardez dans la partie Détection des menaces de Security Center, vérifiez qu'il n'y a pas d'attaques actives ou récentes, enquêtez en conséquence.

Restez à l'écoute pour plus (et probablement mieux) de conseils après avoir lu le livre de Matt Burrough !

Source: https://habr.com/ru/post/fr441450/

More articles:


All Articles