Облако часто воспринимают как «по умолчанию безопасную» среду. На практике для Red Team это просто другая плоскость атаки: не меньше рисков, но больше точек входа. Главная цель атакующего — не взломать сам AWS, Azure или GCP, а использовать ошибки в конфигурации, доступах и процессах внутри облачной инфраструктуры.
С чего начинается атака
Обычно не с эксплойтов, а с разведки:
- открытые бакеты и снапшоты;
- забытые тестовые VM;
- публичные API и панели управления;
- утекшие ключи в Git, CI/CD и контейнерных образах.
Даже один токен с избыточными правами может дать доступ к данным, логам, секретам и внутренним сервисам.
Главная слабость — IAM
В облаке атакующий охотится за правами доступа. Ошибки типа AdministratorAccess, отсутствие принципа least privilege, слабая сегментация ролей и доверие между аккаунтами позволяют быстро двигаться по инфраструктуре.
Типовой сценарий:
- компрометация учетных данных;
- просмотр ролей и политик;
- privilege escalation;
- доступ к секретам;
- закрепление через новые ключи, роли, функции или service accounts.
Частые векторы атаки
- 🔐 Секреты в переменных окружения, Terraform state, Docker-образах, CI/CD.
- 🪣 Object Storage с публичным доступом или ошибочными ACL.
- ⚙️ CI/CD пайплайны, где можно подменить сборку, внедрить код или украсть токены.
- 📦 Контейнеры и Kubernetes: service account abuse, доступ к metadata service, слабые RBAC.
- 🌐 Serverless и API Gateway: небезопасные permissions и чрезмерно открытые интеграции.
Что ищет Red Team в первую очередь
- доступ к metadata service;
- права на
AssumeRole/ impersonation; - секреты в Secret Manager, Parameter Store, Key Vault;
- возможности создавать новые ресурсы;
- отключение логирования или обход мониторинга;
- межаккаунтные trust relationships.
Почему облако ускоряет атаку
В on-prem атакующему часто нужно долго закрепляться в сети. В облаке масштаб и автоматизация работают и на защиту, и против нее. Получив нужные права, злоумышленник за минуты:
- развернет новые инстансы;
- выгрузит данные из storage;
- создаст backdoor через IAM;
- изменит сетевые правила;
- отключит защитные механизмы.
Как защищаться
- ✅ Внедрять least privilege для IAM
- ✅ Запрещать long-lived keys, переходить на short-lived credentials
- ✅ Проверять публичную экспозицию бакетов, VM, API
- ✅ Контролировать CI/CD и хранение секретов
- ✅ Включать audit logs, detection rules и алерты на изменения IAM
- ✅ Проводить cloud-focused pentest и Red Team exercises
- ✅ Использовать CSPM/CNAPP для поиска мисконфигов
Итог простой: в облаке атакуют не «магическую платформу», а ваши решения по доступам, архитектуре и автоматизации. Поэтому зрелая защита начинается не с покупки нового security-инструмента, а с понимания, как именно думает атакующий 🧠
Подборку каналов про IT — с безопасностью, облаками, DevOps и инфраструктурой — стоит посмотреть ниже 👇