Obecnie wiele organizacji, zwłaszcza firm technologicznych, posiada specyficzny rodzaj infrastruktury, związany z pracą w filozofii DevOps, co wynika z potrzeby utrzymania rozbudowanych systemów informatycznych, na których działa cała organizacja. Poza takimi elementami jak linie CI/CD, kontenery, czy repozytoria, tego typu infrastruktura często oparta jest o tzw. chmurę.
Chmura, czyli ogólna nazwa na usługi dostępne w modelu abonamentowym (as a service) u jednego z dostawców chmurowych – takich jak AWS , GCP, Azure, Alibaba Cloud, Digital Ocean i inne.
Po co to komu?
Jeżeli myślisz o rozwoju w branży cyberbezpieczeństwa, to prędzej czy później będziesz mieć do czynienia z nowoczesnym stackiem technologicznym, gdzie znajomość nawet na pamięć wszystkich exploitów na vsftpd, phpmyadmin’a i IIS6 na niewiele się nie przyda. Dlatego warto interesować się tym, jakie podatności bezpieczeństwa występują we współczesnej infrastrukturze – a do niej z pewnością można zaliczyć aplikacje oparte o chmurę. (zresztą ten trend potwierdza treść aktualnych ogłoszeń o pracę, gdzie możemy zauważyć, że coraz więcej firm poszukuje specjalistów sprawnie poruszających się w nowych technologiach – w tym chmurowych).
Wśród dostawców usług cloud’owych dominuje „wielka trójka”, czyli AWS, GCP oraz Azure. Nie ulega więc wątpliwości, że od bezpieczników coraz częściej poza „standardową” wiedzą o aplikacjach webowych czy infrastrukturze, będzie się oczekiwać także pomocy w zabezpieczaniu (lub łamaniu zabezpieczeń) aplikacji i systemów działających w chmurze. A te, mimo iż mogą przypominać „tradycyjne” usługi webowe czy infrastrukturalne, rządzą się swoimi prawami.
Jak zacząć?
Założenie swojego pierwszego konta na AWS może być kłopotliwe, bo w końcu – podajemy tam swoją kartę do konta bankowego, a część osób słyszała też zapewne o tym, że „znajomy znajomego” nabił kosmiczny rachunek na chmurze, co też nie zachęca do rozpoczęcia przygody z tym dzikim stworem. Na szczęście poniżej linkujemy nowe video z naszego kanału, w którym szczegółowo i zupełnie od zera przechodzimy razem przez proces rejestracji w AWS – wraz z omówieniem kosztów, problemów oraz na koniec tworzymy swojego pierwszego użytkownika i wykonujemy pierwszą operacje z użyciem AWS Cli – czyli command line’owego interfejsu chmurowego.
- [1/3] Pierwsze kroki w AWS – rejestracja i logowanie
- [2/3] Pierwsze kroki w AWS – kontrola kosztów
- [3/3] Pierwsze kroki w AWS – IAM, Nowy użytkownik i AWS CLI
Mam już konto, co dalej?
Jeżeli masz już konto na AWS i wiesz jak się nim posługiwać, to mogą zainteresować Cię poniższe materiały do samodzielnego uruchomienia oraz rozwiązania:
http://flaws.cloud/ – Challenge AWS z podatnościami
https://github.com/RhinoSecurityLabs/cloudgoat – Podatna aplikacja z serii „goat” od RhinoSecurity – wymaga instalacji dodatkowych narzędzi takich jak TerraForm
https://github.com/OWASP/Serverless-Goat – Aplikacja ta jest tak naprawdę pojedynczą funkcją lambda, w które również można (a nawet trzeba) znaleźć podatności bezpieczeństwa
https://github.com/toniblyx/my-arsenal-of-aws-security-tools – to akurat nie CTF, ale zbiór narzędzi przydatnych przy testowaniu chmury AWS. Warto mieć pod ręką w razie potrzeby 🙂
Poza powyższymi, AWS oferuje także własny program certyfikatów związanych z zarówno biznesowymi jak i technicznymi aspektami pracy z chmurą. Listę wszystkich z nich znajdziesz tutaj.
PS. Przypominamy, że już odświeżymy formę naszego szkolenia Hacking DevOps Infrastructure, którego około połowa poświęcona jest najważniejszym aspektom hakowania chmury AWS. Jeżeli interesuje Cię to zagadnienie i chcesz załapać się na kupony rabatowe, koniecznie zapisz się do naszego newslettera – gratis dostaniesz comiesięczną pigułkę samego mięsa z zakresu cyberbezpieczeństwa 🙂 (zobacz ostatnie wydanie).
PS2. Jeżeli masz uwagi, pytania, propozycje lub spostrzeżenia, którymi chcesz się z nami podzielić, to pisz śmiało pod kontakt@afine.academy
