AWS - EMR Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EMR

El servicio Elastic MapReduce (EMR) de AWS, a partir de la versión 4.8.0, introdujo una configuración de seguridad que mejora la protección de datos al permitir a los usuarios especificar configuraciones de cifrado para datos en reposo y en tránsito dentro de los clústeres EMR, que son grupos escalables de instancias EC2 diseñados para procesar marcos de big data como Apache Hadoop y Spark.

Las características clave incluyen:

Cifrado de Clúster por Defecto: Por defecto, los datos en reposo dentro de un clúster no están cifrados. Sin embargo, habilitar el cifrado proporciona acceso a varias características:
Configuración Unificada de Clave de Linux: Cifra los volúmenes de clúster EBS. Los usuarios pueden optar por el Servicio de Gestión de Claves de AWS (KMS) o un proveedor de claves personalizado.
Cifrado HDFS de Código Abierto: Ofrece dos opciones de cifrado para Hadoop:
RPC (Llamada a Procedimiento Remoto) de Hadoop seguro, configurado para privacidad, aprovechando la Capa de Seguridad de Autenticación Simple.
Cifrado de transferencia de bloques HDFS, configurado como verdadero, utiliza el algoritmo AES-256.
Cifrado en Tránsito: Se centra en asegurar los datos durante la transferencia. Las opciones incluyen:
Capa de Seguridad de Transporte (TLS) de Código Abierto: El cifrado se puede habilitar eligiendo un proveedor de certificados:
PEM: Requiere la creación manual y agrupación de certificados PEM en un archivo zip, referenciado desde un bucket S3.
Personalizado: Implica agregar una clase Java personalizada como proveedor de certificados que suministra artefactos de cifrado.

Una vez que se integra un proveedor de certificados TLS en la configuración de seguridad, se pueden activar las siguientes características de cifrado específicas de la aplicación, variando según la versión de EMR:

Hadoop:
Puede reducir el shuffle cifrado usando TLS.
RPC de Hadoop seguro con Capa de Seguridad de Autenticación Simple y Transferencia de Bloques HDFS con AES-256 se activan con cifrado en reposo.
Presto (versión EMR 5.6.0+):
La comunicación interna entre nodos de Presto está asegurada usando SSL y TLS.
Tez Shuffle Handler:
Utiliza TLS para cifrado.
Spark:
Emplea TLS para el protocolo Akka.
Usa Capa de Seguridad de Autenticación Simple y 3DES para el Servicio de Transferencia de Bloques.
El servicio de shuffle externo está asegurado con la Capa de Seguridad de Autenticación Simple.

Estas características mejoran colectivamente la postura de seguridad de los clústeres EMR, especialmente en lo que respecta a la protección de datos durante las fases de almacenamiento y transmisión.

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

AWS - EMR Privesc

Referencias

https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAWS - ElastiCache NextAWS - EFS Enum

Last updated 3 days ago

EMR

Las características clave incluyen:

Cifrado de Clúster por Defecto: Por defecto, los datos en reposo dentro de un clúster no están cifrados. Sin embargo, habilitar el cifrado proporciona acceso a varias características:

Configuración Unificada de Clave de Linux: Cifra los volúmenes de clúster EBS. Los usuarios pueden optar por el Servicio de Gestión de Claves de AWS (KMS) o un proveedor de claves personalizado.

Cifrado HDFS de Código Abierto: Ofrece dos opciones de cifrado para Hadoop:

RPC (Llamada a Procedimiento Remoto) de Hadoop seguro, configurado para privacidad, aprovechando la Capa de Seguridad de Autenticación Simple.

Cifrado de transferencia de bloques HDFS, configurado como verdadero, utiliza el algoritmo AES-256.

Cifrado en Tránsito: Se centra en asegurar los datos durante la transferencia. Las opciones incluyen:

Capa de Seguridad de Transporte (TLS) de Código Abierto: El cifrado se puede habilitar eligiendo un proveedor de certificados:

PEM: Requiere la creación manual y agrupación de certificados PEM en un archivo zip, referenciado desde un bucket S3.

Personalizado: Implica agregar una clase Java personalizada como proveedor de certificados que suministra artefactos de cifrado.

Hadoop:

Puede reducir el shuffle cifrado usando TLS.

RPC de Hadoop seguro con Capa de Seguridad de Autenticación Simple y Transferencia de Bloques HDFS con AES-256 se activan con cifrado en reposo.

Presto (versión EMR 5.6.0+):

La comunicación interna entre nodos de Presto está asegurada usando SSL y TLS.

Tez Shuffle Handler:

Utiliza TLS para cifrado.

Spark:

Emplea TLS para el protocolo Akka.

Usa Capa de Seguridad de Autenticación Simple y 3DES para el Servicio de Transferencia de Bloques.

El servicio de shuffle externo está asegurado con la Capa de Seguridad de Autenticación Simple.

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

AWS - EMR Privesc