Obecnie wiele organizacji, zwłaszcza firm technologicznych, posiada specyficzny rodzaj infrastruktury, związany z pracą w filozofii DevOps, co wynika z potrzeby utrzymania rozbudowanych systemów informatycznych, na których działa cała organizacja. Poza takimi elementami jak linie CI/CD, kontenery, czy repozytoria, tego typu infrastruktura często oparta jest o tzw. chmurę.

Chmura, czyli ogólna nazwa na usługi dostępne w modelu abonamentowym (as a service) u jednego z dostawców chmurowych – takich jak AWS , GCP, Azure, Alibaba Cloud, Digital Ocean i inne.

Po co to komu?

Jeżeli myślisz o rozwoju w branży cyberbezpieczeństwa, to prędzej czy później będziesz mieć do czynienia z nowoczesnym stackiem technologicznym, gdzie znajomość nawet na pamięć wszystkich exploitów na vsftpd, phpmyadmin‘a i IIS6 na niewiele się nie przyda. Dlatego warto interesować się tym, jakie podatności bezpieczeństwa występują we współczesnej infrastrukturze – a do niej z pewnością można zaliczyć aplikacje oparte o chmurę. (zresztą ten trend potwierdza treść aktualnych ogłoszeń o pracę,  gdzie możemy zauważyć, że coraz więcej firm poszukuje specjalistów sprawnie poruszających się w  nowych technologiach – w tym chmurowych).

Wśród dostawców usług cloud’owych dominuje „wielka trójka”, czyli AWS, GCP oraz Azure. Nie ulega więc wątpliwości, że od bezpieczników coraz częściej poza „standardową” wiedzą o aplikacjach webowych czy infrastrukturze, będzie się oczekiwać także pomocy w zabezpieczaniu (lub łamaniu zabezpieczeń) aplikacji i systemów działających w chmurze. A te, mimo iż mogą przypominać „tradycyjne” usługi webowe czy infrastrukturalne, rządzą się swoimi prawami.

Jak zacząć?

Założenie swojego pierwszego konta na AWS może być kłopotliwe, bo w końcu – podajemy tam swoją kartę do konta bankowego, a część osób słyszała też zapewne o tym, że “znajomy znajomego” nabił kosmiczny rachunek na chmurze, co też nie zachęca do rozpoczęcia przygody z tym dzikim stworem. Na szczęście poniżej linkujemy nowe video z naszego kanału, w którym szczegółowo i zupełnie od zera przechodzimy razem przez proces rejestracji w AWS – wraz z omówieniem kosztów, problemów oraz na koniec tworzymy swojego pierwszego użytkownika i wykonujemy pierwszą operacje z użyciem AWS Cli – czyli command line’owego interfejsu chmurowego.

Mam już konto, co dalej?

Jeżeli masz już konto na AWS i wiesz jak się nim posługiwać, to mogą zainteresować Cię poniższe materiały do samodzielnego uruchomienia oraz rozwiązania:

http://flaws.cloud/ – Challenge AWS z podatnościami

https://github.com/RhinoSecurityLabs/cloudgoat – Podatna aplikacja z serii „goat” od RhinoSecurity – wymaga instalacji dodatkowych narzędzi takich jak TerraForm

https://github.com/OWASP/Serverless-Goat – Aplikacja ta jest tak naprawdę pojedynczą funkcją lambda, w które również można (a nawet trzeba) znaleźć podatności bezpieczeństwa

https://github.com/toniblyx/my-arsenal-of-aws-security-tools – to akurat nie CTF, ale zbiór narzędzi przydatnych przy testowaniu chmury AWS. Warto mieć pod ręką w razie potrzeby 🙂

Poza powyższymi, AWS oferuje także własny program certyfikatów związanych z zarówno biznesowymi jak i technicznymi aspektami pracy z chmurą. Listę wszystkich z nich znajdziesz tutaj.

PS. Przypominamy, że już odświeżymy formę naszego szkolenia Hacking DevOps Infrastructure, którego około połowa poświęcona jest najważniejszym aspektom hakowania chmury AWS. Jeżeli interesuje Cię to zagadnienie i chcesz załapać się na kupony rabatowe, koniecznie zapisz się do naszego newsletteragratis dostaniesz comiesięczną pigułkę samego mięsa z zakresu cyberbezpieczeństwa 🙂 (zobacz ostatnie wydanie).

PS2. Jeżeli masz uwagi, pytania, propozycje lub spostrzeżenia, którymi chcesz się z nami podzielić, to pisz śmiało pod kontakt@afine.academy

0 CommentsZamknij komentarze

Skomentuj