几个月前,我与客户合作,研究团队应如何评估其Azure实施的安全性。 以前我从未在Azure应用程序上进行过
渗透测试(广泛的安全性测试),所以根据我在安全方面的经验,当时这些想法只是我脑海中的想法。
Matt Burrough的书《 Pentesting Azure Application》更加深入,对于专注于云计算的安全专家来说,这是一本必读的书,我现在正在阅读。
在下面,我与您分享这些本书前的想法,并将在以后的文章中将它们与阅读Matt的书后我将学习或确认的思想进行比较。
中等原件因此,这里列出了我在阅读Matt的书之前对Azure安全的想法。 请在下面随意评论Azure用户应检查以确保其Azure部署安全的其他事项。
- 不要测试Azure基础结构。 这违反了Azure的用户协议,将使您陷入Microsoft的热潮。 没有人想要。
- 要非常小心,只为您的客户测试可扩展的功能。
- Azure安全中心是否已打开? 如果不是, 则将其打开 。 我是ASC。
- 是否所有订阅/子订阅都已启用? 您有完整的报道吗? 如果没有,一定要报告。
- 是否有一个策略集(组织选择的设置为“安全”设置,例如所有存储在静态时都必须加密)? 如果是这样,设置是什么? 他们看起来好吗? 此外,他们具有什么级别的合规性? 应报告所有不合规的内容。
- 是否在所有可能的资源上都设置了威胁防护(仅存储和数据库),监视和审计? 如果没有,请报告。
- 看网络,就像看传统网络一样,有什么地方不对吗? 另外,他们是否正在进行分区或零信任或其他? 他们使用哪种网络安全模型? 确保他们符合自己的计划。 询问他们启动网络的计划。 如果他们没有答案,那将是另一个问题。
- 是否在所有服务器/ VM的所有端口上都设置了“及时”(JIT)? 还是他们使用JumpBox从Azure外部访问VM? 还是根本不允许这样做? 他们应该将JIT 和网络安全组(NSG)用于*一切*。
- 他们是否在VM上启用了应用白名单? 它称为Adaptive Application Controls ,它位于安全中心(ASC)菜单中“高级云防御”下JIT的正下方。 他们应该为*所有*服务器启用该功能。
- 他们是否使用SIEM(安全事件和事件管理系统)? 他们使用得好吗? 他们在监视吗? 它得到什么样的保险? 是否将ASC送入其中? 应该的。
- 他们正在使用WAF(Web应用程序防火墙)吗? 如果是这样,请对其进行测试。 如果不是,请将其标记为改进建议。
- 还有其他第三方安全工具(IPS / IDS / HIPS /其他)吗? 如果是这样,那么这些人是否可以完全覆盖此测试涵盖的所有资产? 并且它们配置好吗?
- 查看Azure安全中心的“建议”选项卡,它将告诉您尚未发现的所有问题(网络问题,配置错误,缺少补丁等)。 确实,您可能从这里开始。 这是按照重要性顺序列出的所有不符合您的政策的列表。
- 如果您要评估Azure,API和功能(无服务器)中的Web应用程序,则完全是另一回事,但是所有常规安全测试规则都适用,无论是否适用。
- 如果您的组织使用的是Azure DevOps,建议您向管道中添加一些安全测试,包括Azure Secure DevOps Kit 。 严格 您可能不会通过前几次,所以请让您的开发人员感到有些失望。 Azure市场中有大量出色的安全工具,仅此而已,仅此而已。
- 作为Azure威胁防护的一部分,为SQL数据库打开VA,然后立即启动扫描以查看是否发生了任何事情。 它可能会为您提供很多建议。
- 查看安全中心的“威胁检测”部分,确认没有活动的攻击或最近发生的攻击,请进行相应的调查。
在阅读Matt Burrough的书后,请继续关注更多(可能更好)的建议!