Geekly articles weekly

Pentesting Azure - Pensamentos sobre segurança na computação em nuvem

Há alguns meses, trabalhei com um cliente sobre como uma equipe deveria avaliar a segurança de sua implementação do Azure. Eu nunca tinha feito um teste completo (teste de segurança extensivo) em um aplicativo do Azure antes, portanto, essas idéias eram apenas pensamentos que estavam na minha cabeça naquele momento, com base na minha experiência em segurança.

O livro de Matt Burrough , Pentesting Azure Application s, é ainda mais profundo e é uma leitura obrigatória para especialistas em segurança focados em Cloud Computing, estou lendo agora.

A seguir, compartilho com você esses pensamentos pré-livro e os compararei em um artigo futuro com os que aprenderei - ou confirmo - depois de ler o livro de Matt.


Original em médio

Então, aqui está a lista de pensamentos sobre segurança do Azure que eu tinha antes de ler o livro de Matt. Sinta-se livre para comentar abaixo sobre outras coisas que os usuários do Azure devem verificar para garantir que a implantação do Azure seja segura.


  1. Não teste a infraestrutura do Azure. Isso viola o contrato do usuário do Azure e você entra em contato com a Microsoft. Ninguém quer isso.
  2. Seja extremamente cuidadoso ao testar apenas as coisas que estão no escopo do seu cliente.
  3. O Centro de Segurança do Azure está ativado? Caso contrário, ligue-o . Eu ASC.
  4. Todas as assinaturas / assinaturas estão ativadas? Você tem cobertura completa? Caso contrário, informe-o definitivamente.
  5. Existe um conjunto de políticas (configurações que a organização escolheu como "segura", como todo o armazenamento deve ser criptografado em repouso)? Se sim, quais são as configurações? Eles parecem bons? Além disso, que nível de conformidade eles têm? Tudo o que não estiver em conformidade deve ser relatado.
  6. A proteção contra ameaças (apenas armazenamento e bancos de dados), monitoramento e auditoria estão configurados em todos os recursos possíveis? Caso contrário, relate.
  7. Olhe para a rede, da mesma maneira que você olha para uma rede tradicional, algo está fora do lugar? Além disso, eles estão fazendo zoneamento ou confiança zero ou algo mais? Qual modelo de segurança de rede eles estão usando? Verifique se eles estão em conformidade com seu próprio plano. Pergunte a eles qual é o plano deles para a rede começar. Se eles não têm uma resposta, isso é outra questão.
  8. Eles têm "just in time" (JIT) configurado em todas as portas em todos os servidores / VMs? Ou eles estão usando um JumpBox para acessar VMs de fora do Azure? Ou isso não é permitido? Eles devem usar o JIT e os grupos de segurança de rede (NSGs) para * tudo *.
  9. Eles têm a lista de permissões de aplicativos ativada nas VMs? Chama-se Adaptive Application Controls , e fica logo abaixo do JIT no menu do Security Center (ASC), em "Advanced Cloud Defense". Eles deveriam ter isso ativado para * todos * servidores.
  10. Eles estão usando um SIEM (Sistema de gerenciamento de incidentes e eventos de segurança)? Eles estão usando bem? Eles estão monitorando? Que tipo de cobertura está recebendo? O ASC o alimenta? Deveria.
  11. Eles estão usando um WAF (Web Application Firewall)? Se sim, teste. Se não estiverem, marque-o como um conselho para melhoria.
  12. Alguma outra ferramenta de segurança de terceiros (IPS / IDS / HIPS / Outros)? Em caso afirmativo, estão recebendo cobertura completa de todos os ativos cobertos por este teste? E eles estão configurados bem?
  13. Procure na guia "Recomendações" da Central de Segurança do Azure e ele mostrará todos os problemas (problemas de rede, erros de configuração, correções ausentes, mais) que você ainda não viu. Realmente, você provavelmente poderia começar por aqui. Esta é uma lista de tudo que não é compatível com sua política, em ordem de importância.
  14. Se você estiver avaliando aplicativos Web no Azure, APIs e funções (sem servidor), esse é outro tópico, mas todas as regras regulares de teste de segurança se aplicariam, Azure ou não.
  15. Se sua organização estiver usando o Azure DevOps, sugiro adicionar vários testes de segurança ao seu pipeline, incluindo o Azure Secure DevOps Kit . É estrito; você provavelmente não vai passar nas primeiras vezes, então prepare seus desenvolvedores para um pouco de decepção. Há uma tonelada de ótimas ferramentas de segurança no Azure Marketplace, adicione algumas, uma não é suficiente.
  16. Ative o VA for SQL DataBases como parte da Proteção contra ameaças do Azure e inicie uma verificação imediatamente para ver se algo está acontecendo. Provavelmente terá muitos conselhos para você.
  17. Procure na parte de detecção de ameaças da Central de Segurança, verifique se não há ataques ativos ou recentes, investigue adequadamente.

Fique atento a mais (e provavelmente melhor) conselho depois de ler o livro de Matt Burrough !

Source: https://habr.com/ru/post/pt441450/

More articles:


All Articles