AWS - Federation Abuse
SAML
Aby uzyskać informacje na temat SAML, sprawdź:
Aby skonfigurować federację tożsamości za pomocą SAML, wystarczy podać nazwę i metadane XML zawierające konfigurację SAML (punkty końcowe, certyfikat z kluczem publicznym).
OIDC - Nadużycie Github Actions
Aby dodać akcję Github jako dostawcę tożsamości:
Dla Typu dostawcy wybierz OpenID Connect.
Dla Adresu URL dostawcy wprowadź
https://token.actions.githubusercontent.com
.Kliknij Pobierz odcisk palca, aby uzyskać odcisk palca dostawcy.
Dla Odbiorcy wprowadź
sts.amazonaws.com
.Utwórz nową rolę z uprawnieniami, których potrzebuje akcja Github, oraz polityką zaufania, która ufa dostawcy, na przykład:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
Nadużycie OIDC - EKS
W przypadku usługi Amazon Elastic Kubernetes Service (EKS), OIDC (OpenID Connect) jest mechanizmem uwierzytelniania, który umożliwia federację tożsamości między klastrami EKS a innymi usługami AWS. Jednakże, jeśli nie jest odpowiednio skonfigurowany, może prowadzić do potencjalnych nadużyć.
Zagrożenia
Podstawowe nadużycie: Jeśli atakujący uzyska dostęp do tokena OIDC, może użyć go do uwierzytelnienia się w innych usługach AWS, które zaufają temu tokenowi. To może prowadzić do nieautoryzowanego dostępu do zasobów w chmurze.
Przechwytywanie tokena: Atakujący może przechwycić token OIDC, który jest przesyłany między klastrami EKS a usługami AWS. To umożliwia mu uzyskanie dostępu do tych usług, które zaufają temu tokenowi.
Zabezpieczenia
Aby zabezpieczyć się przed nadużyciem OIDC w EKS, należy podjąć następujące kroki:
Ograniczenie uprawnień: Upewnij się, że role IAM przypisane do klastra EKS mają odpowiednio ograniczone uprawnienia. Unikaj nadawania zbyt szerokich uprawnień, które mogą umożliwić nieautoryzowany dostęp.
Monitorowanie: Regularnie monitoruj logi zdarzeń w celu wykrywania podejrzanej aktywności. W przypadku wykrycia nieautoryzowanego dostępu lub prób przechwycenia tokena OIDC, podjęcie odpowiednich działań naprawczych.
Aktualizacje: Upewnij się, że oprogramowanie EKS jest regularnie aktualizowane, aby korzystać z najnowszych poprawek zabezpieczeń.
Bezpieczne praktyki uwierzytelniania: Wdrażaj silne hasła, wielopoziomowe uwierzytelnianie i inne bezpieczne praktyki uwierzytelniania, aby utrudnić atakującym uzyskanie dostępu do tokena OIDC.
Audyt konfiguracji: Regularnie przeglądaj i audytuj konfigurację OIDC w celu upewnienia się, że jest ona poprawnie skonfigurowana i nie ma żadnych luk w zabezpieczeniach.
Podsumowanie
OIDC w EKS jest potężnym narzędziem do federacji tożsamości, ale wymaga odpowiedniej konfiguracji i zabezpieczeń. Przestrzeganie najlepszych praktyk bezpieczeństwa i regularne monitorowanie są kluczowe dla zapewnienia bezpieczeństwa klastra EKS i uniknięcia nadużyć OIDC.
Możliwe jest wygenerowanie dostawców OIDC w klastrze EKS, po prostu ustawiając URL OIDC klastra jako nowego dostawcy tożsamości Open ID. Jest to powszechna domyślna polityka:
Ta polityka poprawnie wskazuje, że tylko klastr EKS o identyfikatorze 20C159CDF6F2349B68846BEC03BE031B
może przejąć rolę. Jednak nie wskazuje, który konta usługi mogą ją przejąć, co oznacza, że DOWOLNE konto usługi z tokenem tożsamości sieciowej będzie mogło przejąć tę rolę.
Aby określić, które konto usługi powinno móc przejąć rolę, należy określić warunek, w którym nazwa konta usługi jest określona, na przykład:
Odwołania
Last updated