Chanzo: www.hackerone.com – Mwandishi: Jaimin Gohel. Kwa hakika, Vitisho Vikuu vya Cloud Security Alliance kwa Ripoti ya Cloud Computing 2024 inaorodhesha masuala yafuatayo kama matatu kuu: Mipangilio mibaya na udhibiti duni wa udhibiti wa Utambulisho na Usimamizi wa Ufikiaji (IAM) Violesura visivyo salama na API Ili kulinda mazingira ya AWS, HackerOne inatoa mbinu inayoendeshwa. Ukaguzi wa usanidi wa usalama wa AWS unaotolewa kupitia Pentest kama modeli ya Huduma (PTaaS). Mbinu hii inaunganisha mashirika na kundi lililohakikiwa sana la jumuiya ya kimataifa ya watafiti wa usalama kwa ajili ya tathmini ya kina, ya mwisho hadi ya mwisho. Kufanya ukaguzi maalum mara kwa mara, kwa kutumia PTaaS inayoendeshwa na jumuiya ni muhimu ili kupata udhaifu katika usanidi wa rasilimali yako ya AWS. Mbinu za Upimaji wa Usanidi wa Usalama wa AWS Mbinu za majaribio za AWS za HackerOne zimeegemezwa katika kanuni za Kiwango cha Kwanza cha Misingi ya Huduma za Wavuti za CIS na Nguzo ya Usalama ya Mfumo Uliobuniwa Vizuri wa AWS. Zaidi ya hayo, michakato yetu ya majaribio inatii viwango vinavyohitajika kwa uidhinishaji/uidhinishaji wa CREST, kuhakikisha tathmini za kina na za kuaminika katika mazingira mbalimbali ya wingu, ikiwa ni pamoja na AWS. Mashirika yanayotumia AWS sasa yanaweza kulinda vyema dhidi ya hatari na mashambulizi yakiwa na wataalam waliobobea Wenye Uidhinishaji wa AWS walio na utaalamu maalumu, uliothibitishwa katika udhaifu mahususi kwa bidhaa na huduma katika mazingira yako ya wingu ya AWS. Kila ushiriki wa ukaguzi wa usanidi wa usalama unaofanywa na HackerOne huangazia huduma na usanidi wa AWS muhimu zaidi kwa usalama wa miundombinu ya wingu ya shirika, ikijumuisha: Athari za Kawaida za AWS AWS hufanya kazi kwa Muundo wa Wajibu wa Pamoja ambao unaonyesha mgawanyo wa majukumu ya usalama kati ya AWS na wateja wake. AWS inawajibika kwa usalama wa miundombinu ya msingi ya wingu, wakati wateja wanawajibika kwa usalama wa data zao, programu na usanidi ndani ya mazingira ya AWS. Kwa idadi kubwa ya michanganyiko inayoweza kutokea ya huduma za AWS na usanidi wake, inaweza kuwa rahisi kupuuza udhaifu unaoweza kutokea kutokana na usanidi usiofaa. Sera za Udhibiti wa Huduma za Mipangilio Mibaya ya IAM (SCP) huweka mipaka ya ruhusa pana, ya shirika zima. Wanafafanua kiwango cha juu zaidi cha ruhusa ambacho kinaweza kutolewa kwa shirika, kitengo cha shirika au akaunti. SCPs hutekeleza kikomo kwa kile kinachoweza kufikiwa au kurekebishwa kwenye mazingira yako ya AWS. Kwa chaguomsingi, sera ya FullAWSAccess inatumika katika shirika kote, ikitoa ufikiaji usio na kikomo kwa huluki zote isipokuwa vikwazo mahususi vimewekwa. Kwa upande mwingine, sera za huduma za Utambulisho na Usimamizi wa Ufikiaji (IAM) hufafanua ruhusa za watumiaji, majukumu na watumiaji ndani ya kikundi fulani cha watumiaji. IAM inaruhusu udhibiti wa ufikiaji ulio sahihi zaidi na uliobinafsishwa ndani ya mipaka iliyobainishwa iliyowekwa na SCPs. Ukosefu wa Uthibitishaji wa Vipengele Vingi (MFA) na nenosiri/udhibiti wa ufunguo wa ufikiaji unaweza kusababisha ufikiaji usioidhinishwa wa akaunti yako ya AWS. Mipangilio ya ruhusa nyingi pia inaweza kusababisha ufikiaji usioidhinishwa wa rasilimali. Kwa mfano, matumizi yasiyo sahihi ya vibambo vya kadi-mwitu [            {                “Action”: [                    “iam:AttachUserPolicy”                ]ndani ya sera hizi kunaweza kusababisha upendeleo wa kupanuka kwa vekta za mashambulizi. Ili kuonyesha, faili ya sera ifuatayo ya kizuizi cha JSON inaweza kutumiwa vibaya: “PolicyDocument”: {“Toleo”: “2012-10-17”, “Taarifa”: [                    “arn:aws:iam::321123321123:user/*”                ]”Nyenzo”:[bucket-name]“Effect”: “Ruhusu” } ]} Usanidi huu wa sera unaruhusu hatua ya iam:AttachUserPolicy kwa watumiaji wote walio ndani ya akaunti ya AWS. Hii inamaanisha kuwa mtumiaji yeyote anaweza kuambatisha sera yoyote ya IAM kwa mtumiaji mwingine yeyote katika akaunti, wakiwemo wao wenyewe. Kwa usanidi huu wa ruhusa nyingi, mtumiaji anaweza kujipatia sera inayojumuisha utendakazi wa usimamizi. Wakati wa ukaguzi wa usalama wa HackerOne, sera za IAM zitatathminiwa kwa kina ili kuthibitisha ufuasi wa kanuni ya upendeleo mdogo, kuhakikisha kuwa watumiaji na huduma hutolewa kwa ruhusa za chini zaidi zinazohitajika kwa ajili ya majukumu na utendakazi wao mahususi. Mipangilio Mibaya ya Kikundi cha Usalama na Mtandao wa ACL Kundi la usalama hufanya kama ngome ya mtandaoni kwa rasilimali za AWS kama vile matukio ya Elastic Cloud Compute (EC2) kwa kudhibiti trafiki inayoingia na kutoka nje kulingana na seti za sheria. Ingawa orodha ya udhibiti wa ufikiaji wa mtandao (ACL) inatumika sheria zinazoingia na kutoka kwa mtandao mzima wa Wingu la Kibinafsi la Amazon (VPC) au kikundi cha nyavu ndogo. Sheria za hatua zote mbili za usalama hukuwezesha kuruhusu au kukataa trafiki kulingana na vigezo kama vile chanzo cha trafiki na marudio, itifaki na safu ya mlango au mlango. Mipangilio potofu ya vikundi vya usalama na ACL inaweza kusababisha kupenya bila kuchujwa na kuingia kwa trafiki ya mtandao na kusababisha ufikiaji usioidhinishwa wa mifumo muhimu kama vile programu za ndani au hifadhidata. Mipangilio yenye vizuizi kupita kiasi inaweza kuwa shida vile inavyoweza kuzuia watumiaji halali au rasilimali kufikia rasilimali muhimu. Kama sehemu ya tathmini ya usalama ya HackerOne, Vikundi vya Usalama na Orodha za Udhibiti wa Ufikiaji wa Mtandao (NACLs) zitatathminiwa kwa uangalifu ili kubaini usanidi unaoweza kuwa mbaya. Mapitio yatalenga katika kuhakikisha kuwa vidhibiti hivi vya mtandao vinatekeleza kanuni ya upendeleo mdogo, kuruhusu trafiki muhimu pekee huku ikizuia ufikiaji usioidhinishwa ili kudumisha mkao thabiti wa usalama wa rasilimali. Mipangilio Mibaya ya S3 Huduma ya Uhifadhi Rahisi ya Amazon (S3) ni huduma ya kuhifadhi data ya AWS ambayo hutumia “ndoo” kama vyombo vya kuhifadhia vitu. Kwa chaguo-msingi, ndoo mpya, pointi zao za kufikia na vitu vilivyohifadhiwa ni vya faragha kwa default. Ufikiaji wa umma hutolewa kwa ndoo kupitia orodha za udhibiti wa ufikiaji, sera za mahali pa ufikiaji na sera za ndoo. Hata hivyo, kufanya ndoo za kibinafsi kwa umma bila kukusudia au kuhifadhi kwa bahati mbaya taarifa nyeti kwenye ndoo inayokusudiwa kuwa ya umma kunaweza kufichua data nyeti kwa mtu yeyote anayeweza kupata URL ya ndoo, hivyo basi kusababisha ukiukaji mkubwa wa data. Hata ndoo za kibinafsi zinaweza kuathiriwa bila uthibitishaji ufaao, usimbaji fiche, na usanidi wa ruhusa za uendeshaji uliowekwa. Matokeo ya ukiukaji kama huo wa data yanaweza kusababisha hasara ya kifedha, athari za kisheria, ukiukaji wa kufuata sheria na uharibifu wa sifa ya shirika. Ndoo za S3 pia zinaweza kutumika kutekeleza kikoa kidogo. Hatari ya kuchukua kikoa kidogo hutokea wakati kikoa kidogo kinapoelekeza kwenye huduma ambayo haitumiki tena. Katika kesi hii, huduma hiyo ni S3. Wakati wa kuunda ndoo, jina ulilopewa linajumuishwa na URL ya Amazon S3 ambayo inarejelewa kama sehemu ya mwisho. Kwa kuwa ndoo zinaweza kufikiwa kwenye wavuti, zinaweza kutumika kuhifadhi vipengee vya wavuti kama vile picha, video au hata tovuti zote tuli. Kwa ndoo zilizosanidiwa kupangisha tovuti, jina la kapu linatumika kama kikoa kidogo cha mwisho wa eneo mahususi. Kulingana na eneo lako, mwisho wa tovuti utatumia kitone au kistari kama kibambo kitenganishi katika sehemu ya eneo, kama vile: http://[s3-website–region].[bucket-name].amazonaws.com http://[s3-website.region].