Amazon Web Service (AWS), Microsoft Azure и Google Cloud, вероятно, наиболее известны. Предложения облачного хостинга уже достаточно развиты, чтобы как малые, так и крупные компании обращались к этим решениям. Облако предлагает множество преимуществ, как финансовых, так и технических. Оно используется для хранения важных или конфиденциальных данных, доступ к которым осуществляется через приложения, которые могут быть размещены в облаке, а могут и не быть. Поэтому очень важно обеспечить уровень ИТ-безопасности используемых облачных инфраструктур. Лучшим инструментом для этого, несомненно, является тест на проникновение в облако.
Из чего состоит облачный пентест?
В большинстве случаев поставщик предоставляет своим клиентам ИТ-инфраструктуру. Поставщик обеспечивает ИТ-безопасность этой инфраструктуры. Однако за аспекты кибербезопасности, касающиеся конфигурации серверов заказчика и управления пользователями и правами, отвечает заказчик. Незнание систем или неадекватная политика безопасности могут стать причиной ряда недостатков, потенциально открывающих двери для атак. Поэтому уровень безопасности информационной системы, размещенной в облаке, будет зависеть от уровня квалификации команды компании.
Тест на проникновение в облако позволит оценить степень проницаемости имеющейся облачной инфраструктуры для кибер-атак и определить, обеспечена ли операционная безопасность.
Каковы особенности облачного пентеста?
В более традиционном тесте на проникновение масштаб четко определен. Проверка может касаться внутренней сети, внешней сети, Wifi, подключенных объектов, приложений или интернета.
В облачной среде проводимый пентест будет отличаться. Использование облачной инфраструктуры подразумевает как внутренний доступ (в самом облаке), так и внешний (когда сервисы открыты в Интернете). Поэтому тест на проникновение в облачную среду будет проходить в два этапа. Внешний тест на проникновение (через Интернет, пытаясь получить доступ к открытым серверам и местам хранения данных) и внутренний тест на проникновение (для определения возможных уязвимостей в самом облаке).
С другой стороны, проводимые тесты также зависят от выбранного решения для облачного хостинга. Действительно, различные провайдеры, такие как AWS, Google Cloud или Microsoft Azure, имеют очень разные подходы и услуги. Поэтому тест на проникновение будет проводиться специально для используемого хостинг-провайдера.
Интерес теста на проникновение в облако
Данные, хранящиеся в облаке, все равно подвержены риску. Тот факт, что часть облачной инфраструктуры доступна из Интернета, увеличивает количество возможных точек проникновения в информационную систему. За гибкость, которую предлагает облако, особенно в плане простоты доступа и использования, приходится платить. Безопасность данных имеет первостепенное значение, поэтому необходимо принимать во внимание отчетность об уязвимостях.
Проведение пентеста облака помогает выявить как внешние, так и внутренние уязвимости безопасности. Контроль за информационной системой со стороны групп ИТ-безопасности может быть только усилен. Основные уязвимости облачной инфраструктуры, как правило, возникают из-за неправильной конфигурации определенных элементов. Тщательный аудит безопасности способен обнаружить их и предложить корректирующие решения.
Что делать после облачного пентеста?
Команда, проводившая аудит ИТ-безопасности, составляет исчерпывающий отчет. В этом отчете будут подробно описаны не только обнаруженные уязвимости, но и метод, использованный для этого (в частности, чтобы он был воспроизводимым), а также меры, которые необходимо предпринять для устранения этих недостатков.
Затем на основе этого отчета об аудите можно составить план действий и действовать в соответствии с политикой безопасности. Приоритетность внедрения различных решений будет определяться, помимо прочего, в зависимости от соотношения выгоды и затрат. Если на протяжении всего процесса предоставляется помощь, то ответственность за внедрение необходимых исправлений несет компания, прошедшая аудит.