Pokud používáte AWS, je snadné předpokládat, že vaše cloudová bezpečnost je zajištěna – ale to je nebezpečný omyl. AWS zajišťuje svou vlastní infrastrukturu, ale bezpečnost v rámci cloudového prostředí zůstává odpovědností zákazníka.
Představte si bezpečnost AWS jako ochranu budovy: AWS poskytuje pevné zdi a solidní střechu, ale je na zákazníkovi, aby zajistil zámky, nainstaloval alarmy a zajistil, že cennosti nebudou ponechány bez dozoru.
V tomto článku si objasníme, co AWS nezajišťuje, upozorníme na reálné zranitelnosti a ukážeme, jak mohou cloudové bezpečnostní skenery, jako je Intruder, pomoci.
AWS funguje na základě modelu sdílené odpovědnosti. Jednoduše řečeno:
– AWS je odpovědné za zabezpečení základní infrastruktury (např. hardware, sítě, datová centra) – tedy „zdi a střecha“.
– Zákazník je odpovědný za zabezpečení svých dat, aplikací a konfigurací v rámci AWS – tedy „zámky a alarmy“.
Pochopení tohoto rozdělení je klíčové pro udržení bezpečného prostředí AWS.
5 reálných zranitelností AWS, které musíte řešit
Podívejme se na některé reálné zranitelnosti, které spadají pod odpovědnost zákazníka, a na to, co lze udělat pro jejich zmírnění.
Server-Side Request Forgery (SSRF)
Aplikace hostované v AWS jsou stále zranitelné vůči útokům, jako je SSRF, kdy útočníci přimějí server, aby prováděl požadavky jejich jménem. Tyto útoky mohou vést k neoprávněnému přístupu k datům a dalšímu zneužití.
Jak se bránit proti SSRF:
– Pravidelně skenujte a opravujte zranitelnosti v aplikacích.
– Aktivujte AWS IMDSv2, který poskytuje další vrstvu zabezpečení proti útokům SSRF. AWS tuto ochranu nabízí, ale její konfigurace je odpovědností zákazníka.
Slabiny v řízení přístupu
AWS Identity and Access Management (IAM) umožňuje zákazníkům spravovat, kdo má přístup k jakým zdrojům – ale jeho síla závisí na implementaci. Zákazníci jsou odpovědní za to, aby uživatelé a systémy měli přístup pouze k těm zdrojům, které skutečně potřebují.
Běžné chyby zahrnují:
– Příliš permisivní role a přístupy
– Chybějící bezpečnostní kontroly
– Neúmyslně veřejné S3 buckety
Expozice dat
Zákazníci AWS jsou odpovědní za bezpečnost dat, která ukládají v cloudu – a za to, jak jejich aplikace k těmto datům přistupují.
Například pokud vaše aplikace přistupuje k AWS Relational Database Service (RDS), zákazník musí zajistit, že aplikace neodhalí citlivá data útočníkům. Jednoduchá zranitelnost, jako je Insecure Direct Object Reference (IDOR), může útočníkovi s uživatelským účtem umožnit přístup k datům všech ostatních uživatelů.
Správa záplat
To je téměř samozřejmé, ale AWS neprovádí záplatování serverů! Zákazníci, kteří nasazují instance EC2, jsou plně odpovědní za aktualizaci operačního systému (OS) a softwaru.
Například Redis nasazený na Ubuntu 24.04 – zákazník je odpovědný za záplatování zranitelností jak v softwaru (Redis), tak v OS (Ubuntu). AWS spravuje pouze zranitelnosti základního hardwaru, jako jsou problémy s firmwarem.
Služby AWS, jako je Lambda, snižují některé povinnosti spojené se záplatováním, ale stále jste odpovědní za používání podporovaných runtime prostředí a jejich aktualizaci.
Firewally a útočný povrch
AWS dává zákazníkům kontrolu nad jejich útočným povrchem, ale není odpovědné za to, co se rozhodnou vystavit.
Například pokud je na AWS nasazen server GitLab, zákazník je odpovědný za jeho umístění za VPN, použití firewallu nebo jeho umístění do Virtual Private Cloud (VPC) a zároveň zajištění bezpečného přístupu pro svůj tým. Jinak by zranitelnost typu zero-day mohla ohrozit vaše data, a AWS za to nebude odpovědné.
Klíčové poselství
Tyto příklady jasně ukazují jednu věc: bezpečnost v cloudu není automatická. Zatímco AWS zajišťuje základní infrastrukturu, vše, co je na ní postaveno, je odpovědností zákazníka. Ignorování této skutečnosti může vystavit organizaci vážným rizikům – ale s těmi správnými nástroji je možné zůstat v bezpečí.
Zdroj: The Hacker News
