Úsvit klaunů aneb začátek a konec VPN v cloudech
Vzít aplikaci vyvíjenou on-prem, umístit ji do cloudu a myslet si, že jsem tím vyřešil i její bezpečnost, je zásadní omyl.
Obzvlášť když jsem se vůbec nevypořádal s něčím takovým jako je bezpečnostní perimetr cloudu.
Komplexita cloudových služeb je tak vysoká, že jakékoliv opomenutí, může celý bezpečnostní koncept snadno nabourat.
Velcí CSP vědí, jaké bezpečnostní hrůzy jim tam vznikají a snaží se klienty vychovávat i tím, že je na nebezpečné aktivity upozorňují anebo je dokonce i sami rovnou opravují, aby platilo „secure by default“.
Už slovní spojení perimetr cloudu může vzbuzovat něco neřešitelného. Např. ve výroční zprávě voj. zpravodajství z roku 2019 bylo uvedeno, že s cloudy zaniká pojem bezpečnostní perimetr a přesunem do cloudů se objevují nové hrozby spočívající v odcizení celých serverů a dat v cloudu spravovaných.
Ano, veřejný cloud je z principu bezperimetrový, jinak by se do jeho management rozhraní nebylo možné připojit odkudkoliv z Internetu. To ale neznamená, že to tak zcela neomezené musíme mít, a že to tak je správně. Řešením je VPN, např. AWS nabízí tyto VPN:
AWS Site-to-Site VPN: Tento typ VPN umožňuje propojit dvě oddělené sítě, např. VPC v AWS a firemní síť.
AWS Client VPN: Tento typ VPN umožňuje připojit se k VPC v AWS z libovolného zařízení pomocí AWS VPN klienta. VPN klient je postaven na OpenVPN. Navíc umožňuje split-tunelování, tzn. přes VPN můžeme poslat jen vybraný síťový provoz a umožňuje nastavit i MFA.
AWS Transit Gateway VPN: Tento typ VPN umožňuje připojit vzdálené sítě k VPC přes AWS Transit Gateway. Propojení se realizuje pomocí protokolu IPsec a umožňuje snadné propojení s více VPC a přístup ke sdíleným zdrojům.
VPC Peering: Není to sice VPN, ale je to de facto jako site-site VPN. Tato metoda umožňuje propojit dvě VPC v rámci AWS bez použití veřejné sítě. Propojení se realizuje přes interní síť AWS a zdroje v jednoho VPC jsou tak přístupné z druhého VPC.
VPN v AWS může být využívána pro několik účelů:
Zabezpečené připojení do AWS: VPN může být použita k zabezpečení připojení mezi klientem a privátními výpočetními zdroji v AWS. Pomocí VPN lze přenášet data mezi privátními výpočetními zdroji v AWS a klientem pomocí šifrování, což snižuje riziko útoků ze strany neoprávněných osob, rozuměj osob v Internetu mimo síť VPN resp. vlastní interní sítě.
Rozšíření sítě: VPN může být použita k rozšíření sítě klienta do AWS. Toto umožňuje klientovi přístup ke vzdáleným prostředkům v AWS.
Propojení různých AWS VPC: VPN může být použita pro propojení různých virtuálních privátních cloudů (VPC) v AWS.
Propojení různých AWS regionů: VPN také umožňuje propojení různých regionů v AWS. Tímto způsobem můžeme propojit různé zdroje, jako jsou například virtuální servery v různých regionech a umožnit tak přenos dat mezi nimi.
VPN lze tedy použít pro zabezpečení přístupu na zdroje AWS, jako jsou S3 buckety a jiné platformní služby.
Pokud bychom chtěli zabezpečit přístup např. k S3 bucketu pomocí VPN, můžeme vytvořit privátní síť v AWS pomocí virtuálního privátního cloudu (VPC) a vytvořit VPN mezi VPC a AWS VPN klientem. Nastavením S3 bucket politiky určíme podmínku buď na VPC „aws:sourceVpc“ nebo IP rozsah „aws:SourceIp“.
Podobně lze využít VPN pro zabezpečení přístupu i k jiným platformním službám v AWS. Tímto způsobem můžeme zvýšit zabezpečení služeb v AWS a snížit tak riziko útoků ze strany neoprávněných osob.
AWS Client VPN navíc podporuje dvoufaktorovou autentizaci pomocí protokolu TOTP .
Pokud potřebujeme nastavit privátní přístup např. na S3 buckety z firemní sítě, můžeme využít AWS PrivateLink ve spojení se site-site VPN mezi firemní sítí a AWS. Pokud máme ale uživatele mimo firemní síť a nechceme, aby šli přes VPN do firemní sítě, pak je AWS VPN klient dobrá volba.
Existuje samozřejmě nespočet scénářů díky IaaS (můžeme si vytvořit třeba vlastní OpenVPN server), jak mít přístup na své AWS prostředky, a přesto je nemít vystavené do Internetu a spoléhat se jen, že uživateli snad neukradnou sessionu/přihl. údaje jak často dělala LAPSUS kyberkriminální skupina pro následnou exfiltraci dat např. přes nějaký info stealer malware a neprovedou např. „aws sts assume-role“ a pak nepřistoupí s jeho právy přes dočasné AWS credentials z druhého konce světa na nějaký S3 bucket s citlivými daty a v lozích AWS bude uživatel dvakrát.
Možná v nějakém dalším článku ukážu, jak takový cloud hacking vypadá a čím je specifický jako před 4 roky, kdy jsem udělal i malou videoukázku o hacknutí „veřejně nedostupných“ S3 bucketů.
MALÝ, Robert. Úsvit klaunů aneb začátek a konec VPN v cloudech. Online. Clever and Smart. 2023. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/usvit-klaunu-aneb-zacatek-a-konec-vpn-v-cloudech/. [cit. 2025-01-20].
Štítky: cloud computing, kybernetická bezpečnost
K článku “Úsvit klaunů aneb začátek a konec VPN v cloudech” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.