Geekly articles weekly

Pentesting Azure - Pikiran tentang Keamanan dalam Cloud Computing

Beberapa bulan yang lalu saya bekerja dengan pelanggan tentang bagaimana sebuah tim harus mengevaluasi keamanan implementasi Azure mereka. Saya belum pernah melakukan pentest (pengujian keamanan ekstensif) pada aplikasi Azure sebelumnya, jadi ide-ide ini hanyalah pemikiran dari atas kepala saya pada waktu itu berdasarkan pengalaman saya dalam keamanan.

Buku Matt Burrough , Aplikasi Pentesting Azure , bahkan lebih dalam dan merupakan bacaan wajib bagi para pakar keamanan yang berfokus pada Cloud Computing, saya membacanya sekarang.

Di bawah ini saya membagikan kepada Anda pemikiran-pemikiran pra-buku ini, dan akan membandingkannya dalam artikel yang akan datang dengan yang akan saya pelajari - atau konfirmasi - setelah membaca buku Matt.


Asli dengan medium

Jadi inilah daftar pemikiran tentang keamanan Azure yang saya miliki sebelum membaca buku Matt. Jangan ragu untuk berkomentar di bawah ini tentang hal-hal lain yang harus diperiksa pengguna Azure untuk memastikan penyebaran Azure mereka aman.


  1. Jangan menguji Infrastruktur Azure. Itu adalah pelanggaran terhadap perjanjian pengguna untuk Azure dan akan membawa Anda ke air panas dengan Microsoft. Tidak ada yang mau itu.
  2. Berhati-hatilah untuk hanya menguji hal-hal yang DI DALAM RUANG LINGKUP untuk klien Anda.
  3. Apakah Azure Security Center dihidupkan? Jika tidak, hidupkan . Saya ASC.
  4. Apakah semua langganan / sub-langganan sudah aktif? Apakah Anda memiliki cakupan yang lengkap? Jika tidak, laporkan dengan pasti.
  5. Apakah ada seperangkat kebijakan (pengaturan yang dipilih org sebagai "aman", seperti semua penyimpanan harus dienkripsi saat istirahat)? Jika demikian, apa pengaturannya? Apakah mereka terlihat bagus? Juga, tingkat kepatuhan apa yang mereka miliki? Segala sesuatu yang tidak sesuai harus dilaporkan.
  6. Apakah perlindungan ancaman (hanya penyimpanan dan basis data), pemantauan dan audit diatur pada setiap sumber daya yang memungkinkan? Jika tidak, laporkan.
  7. Lihatlah jaringan, dengan cara yang sama Anda akan melihat jaringan tradisional, apakah ada yang tidak pada tempatnya? Juga, apakah mereka melakukan Zoning atau Zero-trust atau sesuatu yang lain? Model keamanan jaringan apa yang mereka gunakan? Pastikan mereka patuh dengan rencana mereka sendiri. Tanyakan kepada mereka apa rencana mereka untuk memulai jaringan mereka. Jika mereka tidak punya jawaban, itu masalah lain sama sekali.
  8. Apakah mereka memiliki "just in time" (JIT) yang diatur pada semua port di semua server / VM? Atau apakah mereka menggunakan JumpBox untuk mengakses VM dari luar Azure? Atau apakah itu sama sekali tidak diizinkan? Mereka harus menggunakan JIT dan Grup Keamanan Jaringan (NSG) untuk * semuanya *.
  9. Apakah mereka mengaktifkan daftar putih aplikasi pada VM? Itu disebut Kontrol Aplikasi Adaptif , dan itu tepat di bawah JIT di menu pusat keamanan (ASC), di bawah "Advanced Cloud Defense". Mereka harus mengaktifkan itu untuk * semua * server.
  10. Apakah mereka menggunakan SIEM (Kejadian keamanan dan sistem manajemen acara)? Apakah mereka menggunakannya dengan baik? Apakah mereka memonitornya? Jenis liputan apa yang didapat? Apakah ASC memberi makan ke dalamnya? Seharusnya begitu.
  11. Apakah mereka menggunakan WAF (Web Application Firewall)? Jika demikian, ujilah. Jika tidak, tandai sebagai saran untuk peningkatan.
  12. Adakah alat keamanan pihak ketiga lainnya (IPS / IDS / HIPS / Lainnya)? Jika demikian, apakah mereka mendapatkan perlindungan penuh dari semua aset yang dicakup oleh tes ini? Dan apakah mereka dikonfigurasi dengan baik?
  13. Lihat di tab "Rekomendasi" dari Azure Security Center dan itu akan memberi tahu Anda semua masalah (masalah jaringan, kesalahan konfigurasi, tambalan yang hilang, lebih) yang belum Anda lihat. Sungguh, Anda mungkin bisa mulai di sini. Ini adalah daftar segala sesuatu yang tidak sesuai dengan kebijakan Anda, sesuai urutan kepentingannya.
  14. Jika Anda menilai aplikasi web dalam Azure, API dan fungsi (serverless), itu adalah topik lain, tetapi semua aturan pengujian keamanan biasa akan berlaku, Azure atau tidak.
  15. Jika organisasi Anda menggunakan Azure DevOps saya sarankan menambahkan beberapa tes keamanan ke pipa Anda termasuk Azure Secure DevOps Kit . Itu ketat; Anda mungkin tidak akan melewatkan beberapa kali pertama, jadi persiapkan pengembang Anda untuk sedikit kekecewaan. Ada TON alat keamanan hebat di Azure Marketplace, tambahkan beberapa, satu tidak cukup.
  16. Nyalakan VA untuk SQL DataBases sebagai bagian dari Azure Threat Protection, dan mulailah memindai segera untuk melihat apakah ada sesuatu yang terjadi. Kemungkinan akan memiliki banyak saran untuk Anda.
  17. Lihat di bagian Deteksi Ancaman Pusat Keamanan, verifikasi bahwa tidak ada serangan aktif yang terjadi atau baru-baru ini, selidiki sesuai.

Tetap disini untuk saran lebih (dan mungkin lebih baik) setelah saya membaca buku Matt Burrough !

Source: https://habr.com/ru/post/id441450/

More articles:


All Articles