lunes, 1 de junio de 2020

Pentesting en AWS



     El Pentesting en la nube de AWS son únicas, y brindan su propio conjunto de consideraciones de seguridad. Si bien algunas vulnerabilidades se mitigan a través de las medidas de seguridad de Amazon, la complejidad de estos servicios deja a muchas empresas expuestas.

Una de las características más sólidas de AWS es la inmensa flexibilidad que se brinda a los usuarios para configurar el entorno. Si bien la flexibilidad es excelente, también es una faceta importante en lo que a seguridad respecta.

En general se puede realizar un Pentesting en cualquier servicio de Amazon y, desde 2019, ya no se requiere la aprobación previa de la empresa.

Se pueden realizar análisis en la nube de servicios operados por el usuario donde hay poca o ninguna interacción con el proveedor de alojamiento y, en términos generales, pueden ser probados a fondo y con pocas restricciones, excepto la denegación de servicio (DDoS) y las interrupciones relacionadas con la continuidad del negocio.

Por otra parte, también se pueden realizar sobre servicios operados por el proveedor y que se proporcionan "como un servicio". Ejemplos serían los servicios de Gmail, Dropbox, Salesforce y AWS como Cloudfront. Eso no quiere decir que las implementaciones de estos no tienen vulnerabilidades, sino que las pruebas se centran en la implementación y la configuración, en lugar de las pruebas de infraestructura que son propiedad del proveedor.

La arquitectura de AWS se compone de un conjunto de API profundamente integrados en el ecosistema de AWS y es necesario probar una variedad de configuraciones específicas de AWS. En una evaluación de este servicio, el cliente proporciona una cuenta de auditoría a la consola de administración de AWS al equipo de evaluación. Al habilitar esta vista, los analistas pueden brindar orientación sobre detalles de seguridad que, de otro modo, serían inaccesibles para los atacantes.

Este enfoque está diseñado desde el punto de vista de auditoría para realizar un análisis de seguridad exhaustiva de la infraestructura de AWS y se recomienda este enfoque en vez de uno centrado en el atacante.

No hay comentarios:

Publicar un comentario