Pentest

Pentest Cloud Intermédiaire - 5 jours

Description

Les technologies cloud sont progressivement intégrées dans le système d'information des entreprises. Elles apportent de nombreux mécanismes de sécurité parfois difficile à appréhender et forçant les attaquants à repenser leurs méthodes d'intrusion.

Au cours de cette formation de cinq jours, les participants seront exposés aux concepts des trois fournisseurs cloud principaux : GCP (Google), AWS (Amazon) et Azure (Microsoft). Après avoir étudié les fondamentaux qui leur sont communs, les spécificités d'implémentation seront détaillées et illustrées au travers d'environnements complets permettant de s'initier aux techniques d'intrusion cloud. Un module complémentaire sera également dédié aux infrastructures Kubernetes.

  • 5 jours (35 heures) modulaires (découpage possible)

  • 3 modules de cours sur GCP, AWS et Azure + 1 module dédié à Kubernetes

  • 4 environnements complets et individualisés

Public et prérequis

Cette formation est adaptée pour des personnes ayant des notions de sécurité offensive mais pas d'expérience préalable sur les environnements cloud. Elle s'adresse principalement aux pentesteurs, administrateurs systèmes, architectes sécurité et développeurs, mais également à tout profil technique souhaitant enrichir son parcours professionnel avec une composante sécurité.

  • Pentesteurs

  • Administrateurs systèmes

  • Architectes sécurité

  • Développeurs

De bonnes connaissances réseau et Unix et des notions d'intrusion web sont recommandées.

Contenu

Jour 1

Fondamentaux : terminologie cloud, services d'infrastructure, topologie réseau, gestion des identités et des accès, mécanismes d'authentification (OAuth), rappels des mécanismes de sécurité Linux (namespaces, cgroups, seccomp, LSM), recherche d'accès en source ouverte.

Jour 2

Google Cloud Plateform : architecture (organisation, dossier, projets, ressources, régions et zones), IAM (permissions, rôles, principaux et politiques), authentification (OAuth 2.0, JWT), utilisation de la CLI gcloud, méthodes de reconnaissance des services, abus de droits sur les buckets, implémentations App Engine et Instance (abus des metadata), élévation de privilèges IAM, reconnaissance réseau (VPC, firewall, VPN, peerings), post-exploitation (délégation sur le domaine, rebond sur Workspace), analyse des évènements.

Jour 3

Amazon Web Services : architecture (organisation, comptes ), IAM ( types d'identité, assumation de rôle, politiques), utilisation de la CLI aws, méthodes de reconnaissance des services, énumération non-authentifiée des identités, abus de droits sur les buckets S3, EC2 (metadata, mouvements latéraux et empoisonnement des agents SSM), Lambdas (runtime API, persistance, exfiltration de données), Cognito (user et identity pools) élévation de privilèges IAM, reconnaissance réseau (VPC, network ACL, security groups), persistance (modification de politiques IAM, role chain juggling).

Jour 4

Azure : architecture (tenants, management groups, subscriptions), Azure AD (types d'identité, gestion des accès, rôles Azure AD et RBAC), synchronisation en environnement hybride (PHS, PTA, ADFS), reconnaissance non-authentifiée, utilisation de la CLI azure et module Az, reconnaissance authentifiée (ROADrecon, AzureHound), implémentation blob storage, key vault, machines virtuelles, mouvements latéraux (Vnet, bastions).

Jour 5

Kubernetes : architecture (conteneurs, pods, nodes, services internes), reconnaissance, authentification (mot de passe, certificats, tokens) et autorisations (node, ABAC, RBAC, WebHook), utilisation de la CLI kubectl, pod templates et contrôleurs, escapes (namespaces, PSP, PSA), concepts réseau (ingress, pod to pod, CNI, politiques).