לדלג לתוכן

שימוש בטוח במכונות ענן לתרגול סייבר

מעבדה ביתית עונה על רוב הצרכים, אבל יש רגעים שבהם המחשב האישי שלכם פשוט לא מספיק. אולי אתם רוצים לבדוק תרחיש שדורש כוח חישוב רציני, אולי אתם צריכים כתובת IP ציבורית אמיתית כדי לתרגל תרחיש שמערב תקשורת חיצונית, ואולי אתם פשוט רוצים מכונה חד פעמית שתמחקו ברגע שסיימתם. בכל המקרים האלה, מכונת ענן היא הכלי הנכון.

מתי בכלל שוכרים מכונת ענן

ספקי ענן כמו AWS,‏ Azure,‏ GCP או DigitalOcean מאפשרים לכם להקים מכונה וירטואלית תוך דקות, לשלם רק על הזמן שהיא רצה, ולמחוק אותה לגמרי כשסיימתם. זה שונה במהותו ממעבדה ביתית: אתם מקבלים כתובת IP אמיתית באינטרנט, יכולת לגייס משאבים חזקים משמעותית ממה שיש למרבית המחשבים האישיים, ותשתית שנעלמת ברגע שאתם לא צריכים אותה יותר - בלי לתפוס מקום בדיסק הקבוע שלכם.

אבל היתרון הזה מגיע עם אחריות גדולה בהרבה מאשר מעבדה מקומית מבודדת, כי הפעם אתם לא מבודדים משום דבר - אתם על האינטרנט הפתוח.

הכלל שלא מתפשרים עליו: מותר לתקוף רק את מה ששלכם

הכלל הבסיסי, שאין לגביו שום גמישות, הוא שמותר לכם להריץ בדיקות אבטחה אך ורק על תשתית שבבעלותכם או שקיבלתם עליה הרשאה מפורשת. זה נכון לגבי כל דבר אחר על האינטרנט, אבל בענן זה חשוב במיוחד כי חשבון הענן שלכם עלול לכלול משאבים משותפים או שירותים שאינם ממש "שלכם" במובן הטכני המלא.

לכל ספק ענן יש מדיניות שימוש מקובל (acceptable use policy) שמתייחסת ספציפית לבדיקות חדירה. חלק מהספקים דורשים אישור או הודעה מראש גם כשמדובר בבדיקה על המשאבים שלכם עצמכם, ורובם אוסרים לחלוטין בדיקה של כל דבר מחוץ לחשבון שלכם. לפני שאתם מריצים כלי סריקה או תקיפה במכונת ענן, חובה לקרוא את המדיניות של הספק הספציפי - זה לוקח כמה דקות ויכול לחסוך לכם הרבה מאוד כאב ראש.

אף פעם לא משאירים מכונה פגיעה חשופה

אם אתם מקימים מכונת מטרה פגיעה בענן כדי לתרגל עליה, זכרו שהאינטרנט נסרק כל הזמן על ידי בוטים אוטומטיים שמחפשים בדיוק מכונות כאלה. מכונה פגיעה עם כתובת IP ציבורית פתוחה יכולה להיפרץ תוך שעות, לפעמים תוך דקות, על ידי מישהו שאין לו שום קשר אליכם.

הפתרון הוא פשוט: מגבילים גישה דרך security groups או firewall rules כך שרק כתובת ה-IP שלכם יכולה בכלל להגיע למכונה. ואם אפשר, עדיף לגמרי לכבות את המכונה בין סשן תרגול לסשן תרגול, ולא להשאיר אותה דולקת "ליתר ביטחון". מכונה כבויה היא מכונה שלא אפשר לתקוף.

הרגלי ניקיון שחוסכים גם כסף וגם סיכון

מעבר לביטחון, יש כאן גם היגיון כלכלי. מכונות ענן עולות כסף כל עוד הן רצות, ולכן ההרגל הבריא הוא לסיים כל סשן תרגול במחיקה או השבתה של המכונה, ולא להשאיר אותה פועלת ברקע. אם אתם רוצים לחזור לאותה תצורה בעתיד, snapshot שמור זול הרבה יותר, גם כלכלית וגם מבחינת חשיפה, מאשר מכונה שדולקת מסביב לשעון.

השילוב הנכון הוא: הגדרות firewall מוקפדות שמגבילות גישה רק אליכם, מחיקה או כיבוי בסוף כל שימוש, ותיעוד snapshot כדי לשחזר סביבה במקום להשאיר אותה חיה. זו בדיוק אותה שיטתיות שנדרשת בבדיקת חדירה מקצועית - לא רק לדעת לתקוף, אלא לדעת לנהל את הסביבה שלכם באחריות.

אם אתם רוצים להעמיק בשיטתיות של בדיקת חדירה אמיתית לפני שאתם עוברים לתרגל על תשתית ענן, תבנו את הבסיס עם קורס בדיקות החדירה שלנו - שם לומדים גם את הצד הטכני וגם את המשמעת שנדרשת כדי לעשות את זה נכון.

יש לכם שאלה על הגדרות ענן ספציפיות, או סתם רוצים לשתף על סביבה שהקמתם? יש לכם קהילה שלמה שאוהבת בדיוק את זה.

הצטרפו לקהילה בדיסקורד