Cloud security audits

Cloud security audits

En las auditorías de seguridad cloud, el equipo de profesionales de Tarlogic identificará vulnerabilidades sobre aplicaciones que basen, total o parcialmente, su infraestructura en entornos cloud, aplicando una batería de pruebas basada en el conocimiento de sus detalles y particularidades típicas.

Objetivos

Desde hace años, existe una tendencia creciente en el número de aplicaciones que aprovechan las ventajas ofrecidas por las infraestructuras basadas en servicios en la nube.

Conceptos como IaaS, SaaS o PaaS forman parte del lenguaje habitual de la generación de aplicaciones que se benefician de la capacidad, potencia y escalabilidad de servicios de terceros.

En Tarlogic, somos conscientes de esta tendencia y de la necesidad de nuestros clientes de garantizar la seguridad de los diversos activos de distinta naturaleza que pueden hacer uso de estos entornos. Nuestras auditorías de seguridad cloud garantizan la viabilidad de estas herramientas.

Beneficios

Los beneficios que puede aportar una audioría de seguridad cloud sobre aplicaciones que hacen uso de servicios cloud incluyen:

  • Detección de malas prácticas relacionadas con la configuración e implementación sobre los servicios de cloud.

  • Detección de problemas derivados del uso de APIs de autenticación y tokens de servicios de terceros.

  • Identificación de vulnerabilidades de autorización relacionadas con una incorrecta gestión de roles, permisos y privilegios (IAM).

  • Vulnerabilidades relacionadas con APIs inseguras.

  • Evaluación de la seguridad de contenedores de almacenamiento en la nube.

  • Detección de vulnerabilidades mediante la explotación de funciones lambda y procesos stateless.

  • Identificación de servicios expuestos y sus posibles configuraciones inseguras en entornos serverless.

Descripción general

Las auditorías de seguridad cloud sobre aplicaciones basadas en servicios cloud necesitan llevar a cabo un enfoque distinto respecto a las auditorías habituales. Por un lado, las infraestructuras basadas en la nube de terceros suelen aplicar medidas que cubren, por defecto, ciertos aspectos de la seguridad. Sin embargo, la gran cantidad de configuraciones disponibles en las consolas de administración de estas plataformas abren la puerta a vulnerabilidades que, inconscientemente, pueden suponer una brecha importante para la información gestionada. Asimismo, estas aplicaciones no están exentas de problemas relacionados con una incorrecta programación de su lógica de negocio, con una gestión inadecuada de tokens de autenticación o políticas de acceso, y con ataques de inyecciones que pueden afectar a las particularidades de los elementos que componen su particular arquitectura.

En Tarlogic evaluamos la seguridad de todos estos elementos, analizando los componentes específicos de la arquitectura cloud utilizada en cada caso, y llevamos a cabo una metodología con herramientas automatizadas y pruebas manuales para detectar sus posibles vulnerabilidades.