AWS - EMR Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EMR

Η υπηρεσία Elastic MapReduce (EMR) της AWS, ξεκινώντας από την έκδοση 4.8.0, εισήγαγε μια ρύθμιση ασφαλείας που ενισχύει την προστασία των δεδομένων επιτρέποντας στους χρήστες να καθορίζουν ρυθμίσεις κρυπτογράφησης για δεδομένα σε κατάσταση ηρεμίας και σε μεταφορά εντός των κλάσεων EMR, οι οποίες είναι κλιμακωτές ομάδες EC2 instances σχεδιασμένες να επεξεργάζονται μεγάλα δεδομένα όπως το Apache Hadoop και το Spark.

Τα κύρια χαρακτηριστικά περιλαμβάνουν:

Προεπιλεγμένη Κρυπτογράφηση Κλάσης: Από προεπιλογή, τα δεδομένα σε κατάσταση ηρεμίας εντός μιας κλάσης δεν είναι κρυπτογραφημένα. Ωστόσο, η ενεργοποίηση της κρυπτογράφησης παρέχει πρόσβαση σε πολλές δυνατότητες:
Ενοποιημένη Ρύθμιση Κλειδιών Linux: Κρυπτογραφεί τους όγκους κλάσης EBS. Οι χρήστες μπορούν να επιλέξουν την Υπηρεσία Διαχείρισης Κλειδιών AWS (KMS) ή έναν προμηθευτή κλειδιών προσαρμοσμένου.
Κρυπτογράφηση HDFS Ανοιχτού Κώδικα: Προσφέρει δύο επιλογές κρυπτογράφησης για το Hadoop:
Ασφαλής RPC Hadoop (Remote Procedure Call), ρυθμισμένο σε ιδιωτικότητα, εκμεταλλευόμενο το Simple Authentication Security Layer.
Κρυπτογράφηση μεταφοράς μπλοκ HDFS, ρυθμισμένο σε true, χρησιμοποιεί τον αλγόριθμο AES-256.
Κρυπτογράφηση σε Μεταφορά: Επικεντρώνεται στην ασφάλεια των δεδομένων κατά τη μεταφορά. Οι επιλογές περιλαμβάνουν:
Ανοιχτού Κώδικα Transport Layer Security (TLS): Η κρυπτογράφηση μπορεί να ενεργοποιηθεί επιλέγοντας έναν προμηθευτή πιστοποιητικών:
PEM: Απαιτεί χειροκίνητη δημιουργία και συσκευασία των πιστοποιητικών PEM σε ένα αρχείο zip, αναφερόμενο από έναν κάδο S3.
Προσαρμοσμένο: Περιλαμβάνει την προσθήκη μιας προσαρμοσμένης κλάσης Java ως προμηθευτή πιστοποιητικών που παρέχει κρυπτογραφικά στοιχεία.

Μόλις ενσωματωθεί ένας προμηθευτής πιστοποιητικών TLS στη ρύθμιση ασφαλείας, οι παρακάτω δυνατότητες κρυπτογράφησης συγκεκριμένων εφαρμογών μπορούν να ενεργοποιηθούν, ποικίλλοντας ανάλογα με την έκδοση EMR:

Hadoop:
Μπορεί να μειώσει την κρυπτογραφημένη αναδιάταξη χρησιμοποιώντας TLS.
Ασφαλής RPC Hadoop με Simple Authentication Security Layer και Μεταφορά Μπλοκ HDFS με AES-256 ενεργοποιούνται με κρυπτογράφηση σε κατάσταση ηρεμίας.
Presto (έκδοση EMR 5.6.0+):
Η εσωτερική επικοινωνία μεταξύ των κόμβων Presto είναι ασφαλής χρησιμοποιώντας SSL και TLS.
Tez Shuffle Handler:
Χρησιμοποιεί TLS για κρυπτογράφηση.
Spark:
Χρησιμοποιεί TLS για το πρωτόκολλο Akka.
Χρησιμοποιεί Simple Authentication Security Layer και 3DES για την Υπηρεσία Μεταφοράς Μπλοκ.
Η εξωτερική υπηρεσία αναδιάταξης είναι ασφαλής με το Simple Authentication Security Layer.

Αυτές οι δυνατότητες συλλογικά ενισχύουν τη θέση ασφάλειας των κλάσεων EMR, ειδικά όσον αφορά την προστασία των δεδομένων κατά τη διάρκεια των φάσεων αποθήκευσης και μετάδοσης.

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

AWS - EMR Privesc

Αναφορές

https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - ElastiCache NextAWS - EFS Enum

Last updated 3 days ago

EMR

Τα κύρια χαρακτηριστικά περιλαμβάνουν:

Προεπιλεγμένη Κρυπτογράφηση Κλάσης: Από προεπιλογή, τα δεδομένα σε κατάσταση ηρεμίας εντός μιας κλάσης δεν είναι κρυπτογραφημένα. Ωστόσο, η ενεργοποίηση της κρυπτογράφησης παρέχει πρόσβαση σε πολλές δυνατότητες:

Ενοποιημένη Ρύθμιση Κλειδιών Linux: Κρυπτογραφεί τους όγκους κλάσης EBS. Οι χρήστες μπορούν να επιλέξουν την Υπηρεσία Διαχείρισης Κλειδιών AWS (KMS) ή έναν προμηθευτή κλειδιών προσαρμοσμένου.

Κρυπτογράφηση HDFS Ανοιχτού Κώδικα: Προσφέρει δύο επιλογές κρυπτογράφησης για το Hadoop:

Ασφαλής RPC Hadoop (Remote Procedure Call), ρυθμισμένο σε ιδιωτικότητα, εκμεταλλευόμενο το Simple Authentication Security Layer.

Κρυπτογράφηση μεταφοράς μπλοκ HDFS, ρυθμισμένο σε true, χρησιμοποιεί τον αλγόριθμο AES-256.

Κρυπτογράφηση σε Μεταφορά: Επικεντρώνεται στην ασφάλεια των δεδομένων κατά τη μεταφορά. Οι επιλογές περιλαμβάνουν:

Ανοιχτού Κώδικα Transport Layer Security (TLS): Η κρυπτογράφηση μπορεί να ενεργοποιηθεί επιλέγοντας έναν προμηθευτή πιστοποιητικών:

PEM: Απαιτεί χειροκίνητη δημιουργία και συσκευασία των πιστοποιητικών PEM σε ένα αρχείο zip, αναφερόμενο από έναν κάδο S3.

Προσαρμοσμένο: Περιλαμβάνει την προσθήκη μιας προσαρμοσμένης κλάσης Java ως προμηθευτή πιστοποιητικών που παρέχει κρυπτογραφικά στοιχεία.

Hadoop:

Μπορεί να μειώσει την κρυπτογραφημένη αναδιάταξη χρησιμοποιώντας TLS.

Ασφαλής RPC Hadoop με Simple Authentication Security Layer και Μεταφορά Μπλοκ HDFS με AES-256 ενεργοποιούνται με κρυπτογράφηση σε κατάσταση ηρεμίας.

Presto (έκδοση EMR 5.6.0+):

Η εσωτερική επικοινωνία μεταξύ των κόμβων Presto είναι ασφαλής χρησιμοποιώντας SSL και TLS.

Tez Shuffle Handler:

Χρησιμοποιεί TLS για κρυπτογράφηση.

Spark:

Χρησιμοποιεί TLS για το πρωτόκολλο Akka.

Χρησιμοποιεί Simple Authentication Security Layer και 3DES για την Υπηρεσία Μεταφοράς Μπλοκ.

Η εξωτερική υπηρεσία αναδιάταξης είναι ασφαλής με το Simple Authentication Security Layer.

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

AWS - EMR Privesc