Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Pentest chmury

Chmura nie jest bezpieczna domyślnie

AWS, Azure i GCP — testowane pod kątem błędów konfiguracji IAM, ścieżek eskalacji uprawnień i ekspozycji danych. Znajdujemy to, co umyka Waszemu narzędziu CSPM.

Dla kogo?

  • Platformy SaaS w AWS / Azure / GCP
  • Fintech migrujący do chmury
  • Środowiska hybrydowe
  • Workloady Kubernetes
  • Konfiguracje multi-account / multi-subscription
Co otrzymujesz

Rezultaty

Ścieżki eskalacji IAM

Mapujemy pełny graf uprawnień i znajdujemy każdą ścieżkę prowadzącą do przejęcia konta.

Błędy konfiguracji, które mają znaczenie

Publiczne buckety S3, zbyt permisywne polityki IAM, wystawione storage accounts, otwarte security groups.

Braki w CIS benchmark

Testujemy wg CIS AWS / Azure / GCP i flagujemy każdy brak z kontekstem biznesowym.

Bezpieczeństwo kontenerów i Kubernetes

EKS/AKS/GKE, pod escape, nadużycie RBAC, wystawiony kubelet, niebezpieczne obrazy.

Sekrety i poświadczenia

Zahardcodowane klucze, wystawione zmienne środowiskowe, poświadczenia w historii git i state Terraform.

Darmowy retest

Jeden darmowy retest w ciągu 30 dni — weryfikujemy poprawki i aktualizujemy raport końcowy.

Jak pracujemy

Przegląd konfiguracji + symulacja ataku

  1. 01

    Zakres

    Konta/subskrypcje, usługi w zakresie, dane dostępowe (read-only audit + opcjonalnie użytkownik testowy), wyłączenia.

  2. 02

    Przegląd konfiguracji

    Zautomatyzowana baseline (CIS benchmarks, Prowler, ScoutSuite) + manualny przegląd ryzykownych konfiguracji.

  3. 03

    Symulacja ataku

    Eksploatujemy błędy konfiguracji z perspektywy skompromitowanej tożsamości — eskalacja uprawnień, ruch boczny, wyciek danych.

  4. 04

    Raport i retest

    Raport executive + techniczny w 5 dni roboczych. Darmowy retest w ciągu 30 dni.

FAQ

Najczęstsze pytania

Potrzebujecie dostępu do produkcji?
Potrzebujemy dostępu read-only audit (rola IAM lub odpowiednik) i opcjonalnie użytkownika testowego do symulacji ataku.
Jakie CSP pokrywacie?
AWS, Azure, GCP. Testujemy też Kubernetes (EKS/AKS/GKE) i typowe integracje SaaS.
Czy to skan CSPM?
Nie. CSPM to część baseline — idziemy dalej: manualna eksploitacja, eskalacja uprawnień, realne ścieżki ataku.
Ile to trwa?
Pojedyncze konto: 7–10 dni. Multi-account / multi-cloud: 10–15 dni.
Czy to spełnia politykę pentestów AWS / Azure?
Tak. Aktualne polityki AWS i Azure pozwalają testować większość usług bez wcześniejszego zgłoszenia.

Zaplanuj pentest chmury

Powiedz, który CSP i jaki zakres — w ciągu jednego dnia roboczego wrócimy z planem, harmonogramem i ceną.

Umów konsultację Wróć do pentestów