Revisão de configuração cloud
Revise metodologias para configurações de nuvem.
Apoiamos testes de invasão de sistemas nos seguintes ambientes de nuvem:
Amazon AWS
Google Cloud Platform (GCP)
Microsoft Azure
Embora realizemos muitos dos mesmos testes em diferentes configurações de nuvem, cada ambiente possui requisitos de teste exclusivos.
Teste de rede em nuvem
Testamos ativos em nuvem com base nas metodologias de teste de nuvem listadas nesta página. Se você deseja um teste de rede do seu ativo em nuvem, solicite-nos um teste de rede externo.
Requisitos Comuns
A Vantico avalia o ambiente de nuvem selecionado, bem como todos os componentes internos e externos. A Vantico segue uma metodologia padrão da indústria baseada principalmente em:
Melhores práticas estabelecidas pelo seu provedor de nuvem
Padrões OWASP para provedores de nuvem (PDF) e padrão de verificação de segurança de aplicativos (ASVS).
A equipe de pentesters do Vantico não precisa de acesso ao código-fonte da aplicação web subjacente, a menos que você o especifique como um requisito.
Seguimos uma metodologia padrão da indústria baseada principalmente no Guia de Testes OWASP ASVS. Nossa equipe segue as seguintes etapas para garantir cobertura total:
Reconhecimento de escopo alvo
Enumeração de componentes
Baseado na descoberta automatizada de componentes
Avaliação automatizada de configuração de componentes
Riscos detalhados, com base nas práticas recomendadas do Center for Internet Security (CIS)
Revisão automatizada/manual de serviços expostos externamente
Avaliações básicas de vulnerabilidade
Análise de projeto arquitetônico
Relatórios, triagem e re-tests
Em geral, os provedores de nuvem com os quais trabalhamos não precisam mais saber antes de realizarmos nossos testes de invasão. No entanto, cada fornecedor de nuvem pode ter o seu próprio procedimento. Incluímos links para procedimentos que conhecemos na seção de cada provedor.
Endereços IP de origem
Os provedores de nuvem podem precisar incluir endereços IP associados ao tráfego de pentest em sua lista de permissões. Compartilharemos esses endereços quando você criar um pentest real.
Parâmetros de teste
Quando você cria um pentest que envolve um provedor de nuvem, compartilharemos as informações que seu provedor de nuvem pode exigir, incluindo:
Largura de banda máxima
Pico de consultas por segundo
Requisitos de tráfego de escalonamento
Informações para contato de emergência
Amazon AWS
Nossos pentesters precisam de acesso para testar seus sistemas AWS. Para isso, você deve preparar:
Uma conta AWS dedicada para cada pentester, com acesso a cada sistema de destino.
Credenciais da API de gerenciamento de identidade e acesso (IAM) para cada conta da AWS afetada.
Inclua as seguintes políticas gerenciadas para o usuário ou função do pentest:
Auditoria de segurança
Ver apenas acesso
Estas são as políticas obrigatórias de nomes de recursos da Amazon (ARN):
Você também deve incluir a arquitetura da configuração da sua nuvem.
O que está coberto
As análises de configuração da nuvem atendem aos padrões de segurança baseados nos benchmarks do Center for Internet Security (CIS). Os benchmarks AWS CIS abrangem IAM, armazenamento, registro, monitoramento e rede.
Categorias de verificações específicas cobertas como parte do Pentest
AWS Cloudtrail
AWS Cloudwatch
AWS EC2
AWS ELB
AWS IAM
AWS RDS
AWS Redshift
AWS Route 53
AWS S3
AWS SES
AWS SNS
AWS SQS
AWS VPC
Google Cloud Platform (GCP)
Nossos pentesters precisam de acesso para testar seus sistemas GCP. Para isso, você deve preparar:
Uma conta GCP dedicada para cada pentester, com acesso a cada sistema de destino.
Chaves de acesso do GCP.
Credenciais da API Identity and Access Management (IAM) para cada conta do GCP afetada.
Para fornecer credenciais de API, use uma conta (de serviço) com permissões de Visualizador e Revisor de Segurança
O que está coberto
As análises de configuração da nuvem atendem aos padrões de segurança baseados nos benchmarks do Center for Internet Security (CIS). Os benchmarks CIS do GCP abrangem IAM, armazenamento, geração de registros, monitoramento, máquinas virtuais, serviços de banco de dados Cloud SQL, BigQuery e rede.
Categorias de verificações específicas cobertas como parte do Pentest
Gerenciamento de identidade e acesso do GCP
Registro e monitoramento do GCP
Rede do GCP
Máquinas virtuais do GCP
Armazenamento do GCP
Serviços de banco de dados SQL Cloud do GCP
Google Cloud BigQuery
Microsoft Azure
Nossos pentesters precisam de acesso para testar seus sistemas Azure. Para isso, você deve preparar:
Uma conta Azure dedicada para cada pentester, com acesso a cada sistema alvo.
Credenciais da API de gerenciamento de identidade e acesso (IAM) (somente leitura) para cada conta dedicada.
O que está coberto
As análises de configuração da nuvem atendem aos padrões de segurança baseados nos benchmarks do Center for Internet Security (CIS). Os benchmarks do Azure CIS abrangem IAM, Microsoft Defender, contas de armazenamento, serviços de banco de dados, registro em log, monitoramento, Key Vault, AppService e rede.
Categorias de verificações específicas cobertas como parte do Pentest
Gerenciamento de identidade e acesso
Microsoft Defender
Contas de armazenamento
Serviços de banco de dados
Registro e monitoramento
Rede
Máquinas virtuais
Cofre de chaves
Serviço de aplicativo
Outros provedores de nuvem
Fizemos testes de invasão em outros provedores de nuvem. Você pode consultar os Requisitos Comuns listados anteriormente.
Nota:
Os provedores de nuvem podem exigir notificação antes de realizarmos um pentest. Para obter mais informações, consulte a documentação do seu provedor de nuvem.
Requisitos adicionais
Você pode definir objetivos de teste adicionais. Se você seguir práticas recomendadas além de OWASP, ASVS ou OSSTMM, informe-nos. Inclua um link ou outra documentação. Se for uma prática de segurança “bem conhecida”, nossos pentesters provavelmente já a conhecem!
Se você tiver instruções especiais para um pentest, adicione-as mais tarde, em Instruções Especiais.
Last updated