Cloudflare Zero Trust Network Impara l'hacking su AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks) ! Altri modi per supportare HackTricks:
Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO !
In un account Rete Zero Trust di Cloudflare ci sono alcune impostazioni e servizi che possono essere configurati. In questa pagina andremo ad analizzare le impostazioni relative alla sicurezza di ciascuna sezione:
Analisi
Utile per conoscere l'ambiente
Gateway
Nelle Policy
è possibile generare policy per limitare tramite DNS , rete o richieste HTTP chi può accedere alle applicazioni.
Se utilizzate, le policy potrebbero essere create per limitare l'accesso a siti dannosi.
Questo è rilevante solo se viene utilizzato un gateway , altrimenti non c'è motivo di creare policy difensive.
Accesso
Applicazioni
Su ogni applicazione:
Controllare chi può accedere all'applicazione nelle Policy e verificare che solo gli utenti che necessitano di accesso all'applicazione possano accedere.
Per consentire l'accesso verranno utilizzati Gruppi di Accesso
(e possono essere impostate anche regole aggiuntive )
Controllare i provider di identità disponibili e assicurarsi che non siano troppo aperti
Verificare che CORS non sia abilitato (se è abilitato, controllare che sia sicuro e non permetta tutto)
I cookie dovrebbero avere l'attributo Strict Same-Site , HTTP Only e il cookie di binding dovrebbe essere abilitato se l'applicazione è HTTP.
Gruppi di Accesso
Verificare che i gruppi di accesso generati siano correttamente limitati agli utenti che dovrebbero consentire.
È particolarmente importante verificare che il gruppo di accesso predefinito non sia molto aperto (non consente troppe persone ) poiché per predefinizione chiunque in quel gruppo sarà in grado di accedere alle applicazioni .
Notare che è possibile dare accesso a TUTTI e ad altre policy molto aperte che non sono raccomandate a meno che non siano assolutamente necessarie.
Autenticazione del Servizio
Verificare che tutti i token di servizio scadano entro 1 anno o meno
Tunnel
TODO
Il Mio Team
TODO
Log
È possibile cercare azioni inaspettate da parte degli utenti
Impostazioni
Controllare il tipo di piano
È possibile vedere il nome del proprietario della carta di credito , gli ultimi 4 numeri , la scadenza e l'indirizzo
È consigliabile aggiungere una Scadenza del Posto Utente per rimuovere gli utenti che non utilizzano realmente questo servizio
Impara l'hacking su AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks) ! Altri modi per supportare HackTricks:
Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO !