Cloud Pentest

Schützen Sie Ihre Cloud Umgebung

Der Trend, Daten in Clouds wie AWS, Azure oder der Google-Cloud zu speichern ist ungebrochen. Mit dem Umzug in die Cloud verlieren Unternehmen jedoch nicht die gesamte Verantwortung für den Schutz dieser Daten. Während die Provider für den Schutz der Cloud selbst verantwortlich sind, müssen Sie als Nutzer die Sicherheit Ihrer Daten sicherstellen.

Die zugrundeliegende Cloud-Infrastruktur kann noch so sicher sein – werden Anwendungen in der Cloud falsch aufgesetzt, schwache Passwörter verwendet oder Berechtigungen nicht restriktiv genug gesetzt, können Angreifer diese Schwachstellen ausnutzen, um möglicherweise die gesamte Cloud-Infrastruktur zu kompromittieren.

Bei unserem Cloud Pentest untersuchen unsere Security Analysten alle relevanten Cloud-Komponenten umfassend und identifizieren mögliche Einfallstore für Angreifer.

Häufige Schwachstellen sind beispielsweise: 

icon schwachstelle orange 003
  • Unberechtigter Zugriff auf Konfigurationsdaten der virtuellen Maschinen (Azure VMs, AWS EC2 oder Google Compute Engine)
  • Unberechtigtes Auslesen von Daten (z.B. fehlkonfigurierte AWS S3 Buckets)
  • Je nach Betriebskonzept typische Schwachstellen in herkömmlichen IT-Systemen und Webanwendungen (bspw. bei klassischem Rehosting nach „Lift and Shift“).

Wie gehen wir beim Cloud Pentest vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Cloud Pentests um spezifische Elemente erweitert wird:

Bei der Überprüfung auf Schwachstellen von Systemen und Anwendungen in Cloud-Umgebungen greifen unsere Security Analysen auf ihre langjährige Erfahrung mit Pentests traditioneller On-Premise-Lösungen zurück. Zusätzlich wird Ihre Umgebung zusätzlich auf Verwundbarkeiten von Cloud-Diensten untersucht. Dabei setzen unsere Security Analysten etablierte Cloud-spezifische Tools ein. Die Resultate werden in unsere usd HeroLab Toolchain integriert. Die so gewonnen Informationen fließen anschließend in die manuelle Überprüfung Ihrer Cloud-Umgebung ein.

 

Welche Überprüfungen sind Bestandteil des Cloud Pentests?

Beim Pentest Ihrer Anwendungen und Systeme in der Cloud sind die Prüfungen des System Pentest bzw. Pentest von Webapplikationen Bestandteil. Zusätzlich werden Cloud-spezifische Tests im Rahmen des Cloud-Pentest durchgeführt, wie z.B.:

 

  • Untersuchung von AWS S3 Buckets auf Fehlkonfigurationen in der Zugriffsberechtigung
  • Code Review der eingesetzten Lambda-Funktionen
  • Überprüfung integrierter Anmeldeverfahren, wie z.B. AWS Cognito, auf Schwachstellen
  • Unberechtigter Zugriff auf den Metadaten-Dienst von EC2 Instanzen, Azure VMs oder Google Compute Engine
cloud security audit

Werden Infrastrukturen in der Cloud betrieben, müssen weitere Angriffsvektoren bedacht werden. Denn werden Cloud Services unsicher konfiguriert, kann eine Kompromittierung Ihrer Daten die Folge sein. Daher empfehlen wir Ihnen, durch ein Cloud Security Audit die sichere Konfiguration Ihrer Cloud-Subscription zu überprüfen.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE