.

Il cloud una nuova opportunità ma non priva di rischi che possiamo trovare ed eliminare.
HOME / OFFENSIVE SECURITY

Cloud Penetration Test e Vulnerability Assessment

Di che si tratta
Il cloud computing, ovvero lo spostamento o la creazione di applicazioni o intere porzioni del proprio sistema informativo in ambienti remoti forniti da provider esterni, presenta vantaggi di flessibilità, scalabilità ed economia di scala, ma richiede la dovuta accortezza.

Un attacco informatico può avvenire dall’esterno o dall’interno del cloud; la minaccia può venire da outsider o insider (dipendenti o consulenti “infedeli” collocati nella struttura del provider), così come da coinquilini del medesimo cloud (“tenant threat”).

Questo vale indipendentemente dal tipo di struttura come Software as a service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).

CryptoNet Labs effettua il proprio esaustivo pacchetto di Vulnerability Assessment e Penetration Testi dedicati su tutte le componenti della struttura cloud: front-end, servizi REST, servizi accessori, network e rete di management, analisi di specifiche istanze e template fino alla revisione delle configurazioni dei singoli tenant.

I test, sempre da pianificare in base alle reali esigenze, possono essere modulati su:

  • provenienza degli attacchi (emulando outsider, insider, “tenant” sospetti);
  • informazioni o risorse messe a disposizione, su base “black-box” (ossia senza conoscenze pregresse), gray-box (con informazioni parziali, es. credenziali di tenant), white-box (con conoscenza a priori dettagli di implementazione, schemi architetturali o altro).

Chi ne può beneficiare
Qualsiasi azienda e organizzazione utilizzi provider di infrastrutture e piattaforme cloud pubbliche, e i relativi servizi (basati su OpenStack, Azure, Google Cloud o AWS) per tenere sotto controllo i rischi associati e seguire le best practice di settore (es.: Cloud Security Alliance).