>>
22-juli-2019, min leestijd

Kwetsbaarheden scannen in de cloud kan slimmer

Bij vulnerability scanning wordt met grote regelmaat de gehele infrastructuur gecontroleerd op fouten en op andere zaken die niet zijn zoals ze moeten zijn. De scanner gaat alle IP-adressen binnen een IT-infrastructuur af en kijkt of er diensten aangeboden worden, en zo ja, of deze diensten geen kwetsbaarheden bevatten. Maar… werkt dit ook voor een infrastructuur in de cloud? En als dit het geval is, hoe gaat dat dan?

Waarom vulnerability scanning

Bij een traditionele hostingoplossing beschik je over jouw eigen infrastructuur met jouw eigen netwerk en jouw eigen fysieke servers. Daarmee heb je de gehele infrastructuur in eigen beheer en zorg je zelf voor configuratie en onderhoud.

Maakt jouw bedrijf gebruik van een cloud-dienst als AWS, Microsoft Azure of het Google Cloud Platform? Lees hier waar je rekening mee moet houden als je vulnerability scanning in wilt zetten om je cloud-infrastructuur veilig te houden.

Jos de Vos, Security Specialist bij Computest

Als je meer capaciteit nodig hebt en nieuwe servers toevoegt en inricht kunnen er echter fouten worden gemaakt. Maar ook als er gebruik wordt gemaakt van automatische deployments kan het zijn dat er onverwacht (virtuele) machines aangemaakt worden, of bijvoorbeeld niet goed ‘opgeruimd’ worden na gebruik. Verder kunnen er nieuwe kwetsbaarheden ontdekt worden waardoor een systeem dat gister nog veilig was dat vandaag niet meer is. Kortom, reden genoeg om regelmatig het hele netwerk te scannen en te controleren of het zich nog in de juiste, veilige staat bevindt.

Infrastructuur scannen met eigen servers

Het hebben van een eigen infrastructuur maakt het scannen van het eigen netwerk ook een stuk makkelijker. Je hebt immers een eigen set IP-adressen die je iedere dag kunt scannen. Deze IP-reeks configureer je in een scantool als Marvin_. Deze scantool controleert iedere nacht je netwerk op kwetsbaarheden en levert ‘s ochtends een actueel rapport met bevindingen over eventuele kwetsbaarheden.

IT-infrastructuur in de cloud scannen

Bij een cloud-oplossing wordt gebruik gemaakt van gehuurde, virtuele hardware. Niet alleen servers, maar ook zaken als firewalls en routers worden afgenomen via een cloud-dienst als AWS, Microsoft Azure of het Google Cloud Platform. Dit is om allerlei redenen aantrekkelijk, met name de schaalbaarheid spreekt veel organisaties aan. De optie om te kunnen beginnen met één kleine server en te kunnen groeien naar tientallen of zelfs honderden machines is aantrekkelijk. Ook omdat de kosten gelijkmatig mee schalen. Er zijn echter wel wat aandachtspunten waar rekening mee gehouden moet worden, zeker op het gebied van beveiliging en infrastructuurscanning. We noemen hier de 4 belangrijkste.

4 aandachtspunten bij scannen van cloud-infrastructuur

1. Flexibele, gedeelde IT-infrastructuur

Bij een cloud-oplossing is de infrastructuur niet volledig in eigen handen. Omdat er gebruik gemaakt wordt van gehuurde apparatuur heb je te maken met een derde partij als Amazon, Microsoft of Google, maar ook met eventuele andere huurders van de infrastructuur.

Aandachtspunt: Maak iedere keer opnieuw een selectie van jouw eigen IP-adressen om te laten scannen. Het IP-adres dat vandaag van een van jouw machines is, is morgen misschien weer door een ander in gebruik.

Omdat je doorgaans losse machines huurt krijgen deze elk een willekeurig IP-adres. Het is namelijk niet zo dat elke klant van AWS, Microsoft Azure of Google Cloud Platform een eigen IP-reeks krijgt. Daardoor kun je bij het scannen van je infrastructuur niet meer simpelweg hele reeksen scannen. Je moet zorgvuldig te werk gaan en een selectie maken zodat je alleen jouw eigen IP-adressen scant.

Deze selectie maak je iedere keer opnieuw, want een IP-adres dat vandaag voor een van jouw machines is, is morgen misschien door een ander in gebruik. Bovendien kan zo’n scan er voor de machine die gescand wordt uitzien als een hackpoging, dus zorgvuldigheid bij het maken van je selectie en het beheer daarvan is geboden.

2. Standaard configuraties

De meeste cloud-aanbieders bieden one-click-installaties of templates aan. Deze templates stellen een ontwikkelaar in staat om direct een volledige applicatie te installeren en live te hebben zonder hiervoor zelf de installatie uit te hoeven voeren.

Aandachtspunt: Controleer of er geen configuratiefouten zijn in de standaardconfiguraties die een cloud-aanbieder beschikbaar stelt en ga er niet automatisch van uit dat het op een veilige manier geconfigureerd is.

Dit levert een enorme tijdswinst op, maar als klant weet je niet zeker dat deze standaardconfiguraties op de meest veilige manier geconfigureerd zijn. Terwijl je hier wel vanuit gaat. Juist bij het hosten in de cloud is het dus belangrijk dat er gecontroleerd wordt of er geen configuratiefouten zijn die de beveiliging van jouw netwerk in gevaar kunnen brengen.

3. Overbelasting

Een infrastructuur-scan kan soms voor extra ‘load’ zorgen of ruis veroorzaken op het netwerk van de hostingprovider. Je deelt de rekencapaciteit van de CPU en het netwerk met andere gebruikers.

Aandachtspunt: Houd in de gaten of jouw cloud-systeem zichzelf automatisch opschaalt bij eventuele extra systeembelasting tijdens het uitvoeren van een infrastructuur-scan en draai dit dan terug om geen onnodige kosten te maken.

Het gevolg van het uitvoeren van een scan kan zijn dat je extra systeembelasting veroorzaakt op de omgeving. Dit kan de ervaring van andere gebruikers op een negatieve manier beïnvloeden.
Een infrastructuur-scan veroorzaakt redelijk wat dataverkeer. Dit kan betekenen dat cloud-systemen zichzelf automatisch opschalen en er extra servers ingeschakeld worden. Dit brengt onnodige kosten met zich mee.

4. Toestemming

Het actief zoeken naar kwetsbaarheden met een automatische scantool is niet te onderscheiden van pogingen van kwaadwillenden om diezelfde kwetsbaarheden te ontdekken. Daarom is het noodzakelijk vooraf te overleggen met de eigenaar van de infrastructuur over wat je wilt gaan doen, en om toestemming te verkrijgen. De infrastructuur is immers niet van jou.

Aandachtspunt: Bespreek met een cloud hosting aanbieder vooraf dat je een infrastructuur-scan wilt inzetten om je infrastructuur veilig te houden.

Om andere klanten niet onnodig tot last te zijn, eist een cloud hosting aanbieder doorgaans dat er toestemming gevraagd wordt voordat men een infrastructuur-scan mag uitvoeren. Dit maakt het uitvoeren van een infrastructuur-scan minder laagdrempelig.

Hoe gaat Marvin_ met deze uitdagingen om?

Omdat cloud-omgevingen regelmatig van IP-adres wisselen hebben we hiervoor bij de ontwikkeling van de scantool Marvin_ een oplossing bedacht. Je kunt in de Marvin_ portal een dynamische scope aangeven. Dit wil zeggen dat de eindgebruiker op geautomatiseerde wijze heel specifiek kan aangeven welke IP-adressen gescand moeten worden en welke niet. Hier is een API voor beschikbaar zodat een gewijzigde configuratie of nieuwe machine volledig automatisch aan Marvin_ doorgegeven wordt. Op deze scope zit bovendien een ‘houdbaarheidsdatum’ en zodra deze verlopen is zal hij niet meer gebruikt worden. Daarmee wordt voorkomen dat oude IP-adressen gescand worden die intussen door het cloud-platform zijn toegewezen aan een derde partij. Op deze manier kan het bijwerken van de scope van de scan eenvoudig worden geïntegreerd met automatische deployment van cloud-machines, zoals vanuit een CI/CD pipeline.

De vulnerability scanner van Marvin_ wordt door ons zeer uitgebreid geconfigureerd waardoor voorkomen wordt dat het gescande systeem te zwaar belast wordt. Ook is de scan afkomstig van een vast IP-adres (of in ieder geval een beperkte set adressen) en draait deze binnen een vast tijdslot. Daardoor kun je auto-scaling-mechanismen zodanig instellen dat ze niet in werking treden gedurende de scan. Verder is met Marvin_ het verkrijgen van toestemming voor een scan geen struikelblok. Door de uitgebreide ervaring die we bij Computest hebben met het scannen van cloud-gebaseerde infrastructuren zijn de contacten bij alle grote cloud aanbieders goed en is dit snel te regelen.

Application_monitoring_prijs.jpg