Investigacion inspirada en https://www.netspi.com/
Última actualización
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el CPNA - Curso Profesional de Pentesting Contra AWS. No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
Este contenido se adentra en una técnica avanzada de post-explotación, crucial para entender cómo maximizar el impacto de un ataque una vez que se ha conseguido penetrar en un sistema. Es importante recalcar que la ejecución de esta técnica presupone que el atacante o consultor ya ha obtenido ciertos niveles de privilegios dentro de la infraestructura objetivo. Sin estos privilegios, llevar a cabo el ataque explicado aquí no sería posible. Proceder con cautela y siempre dentro del marco legal y ético es fundamental.
En el vasto ecosistema de AWS, donde la eficacia operativa y la seguridad son fundamentales, dos conceptos destacan por su capacidad para transformar la gestión de recursos y políticas de seguridad a escala organizativa: el Trusted Access (Acceso de Confianza) y la Delegated Administration (Administración Delegada). Estos principios permiten una extensión del control y vigilancia que trasciende los límites de una cuenta individual de AWS, abarcando la totalidad de la organización.
Trusted Access se refiere a la autorización concedida a servicios compatibles de AWS para ejecutar operaciones a lo largo de todas las cuentas de AWS dentro de tu organización. Podemos pensar en el Trusted Access como el interruptor que activa estas integraciones de funciones, confiando en un servicio integrado específico y concediéndole acceso a los datos de la organización y las cuentas asociadas. Aunque no profundizaremos demasiado en los mecanismos específicos de operación para este artículo, es importante saber que el Trusted Access generalmente otorga a la función acceso a toda la organización, a menudo mediante roles vinculados a servicios creados en cada cuenta pertinente.
Un flujo de trabajo de Trusted Access típico implica que la Cuenta A habilite Trusted Access para una de las funciones soportadas por la organización, lo que a su vez permite acceder a los recursos necesarios de las cuentas de gestión y miembro. A partir de este punto, la capacidad de influir, acceder o modificar las cuentas miembro asociadas es específica de cada función. Activar una función como IAM Access Analyzer desde la cuenta de gestión implica que este servicio está habilitado para toda la organización.
Por su parte, la Delegated Administration se asigna a cuentas miembro y proporciona a la cuenta miembro objetivo "acceso de solo lectura a los datos del servicio AWS Organizations". Esto permite a una cuenta miembro realizar acciones como listar las cuentas de la organización de AWS, lo cual previamente habría generado errores de UI. Adicionalmente, la cuenta de gestión "delega" permisos a la cuenta miembro en lo que respecta a una característica específica integrada en la organización, otorgando así a la cuenta miembro los permisos para ejecutar esa característica específica dentro de su propia cuenta en toda la organización.
La Delegated Administration se ilustra mediante las líneas azules en el diagrama. La Cuenta A podría designar a la Cuenta C como administrador delegado específicamente para IAM Access Analyzer, y la Cuenta C podría entonces ejecutar IAM Access Analyzer en toda la organización. Convertir a una cuenta miembro en administrador delegado para ciertos servicios como IAM Access Analyzer significa que Access Analyzer se convierte en un servicio delegado en la Cuenta C.
Trusted Access y Delegated Administration son conceptos altamente específicos, y no todas las características integradas con la organización admiten tanto el acceso de confianza como los administradores delegados. Estas capacidades, cuando se aplican estratégicamente, pueden revolucionar la gestión de seguridad y recursos en AWS, permitiendo un nivel de supervisión y control más detallado y alineado con las políticas de seguridad y las necesidades operativas de tu organización.
Para aprender más sobre los servicios que puedes utilizar con AWS Organizations y cómo implementar estos principios, te invito a explorar la documentación oficial de AWS. Este conocimiento te empoderará para fortalecer la infraestructura de seguridad y mejorar la eficiencia operativa en el entorno de tu organización.
