ЗАПОБІГАННЯ ЗАГРОЗАМ ХИБНИХ КОНФІГУРАЦІЙ AWS ІНФРАСТРУКТУРИ ЯК КОДУ НА ОСНОВІ ТЕСТУВАННЯ

Іван Пархоменко; Михайло Савонік

doi:10.28925/2663-4023.2025.29.887

Автор(и)

Іван Пархоменко Київський національний університет імені Тараса Шевченка https://orcid.org/0000-0001-6889-9284
Михайло Савонік Київський національний університет ім. Тараса Шевченка https://orcid.org/0009-0001-7622-978X

DOI:

https://doi.org/10.28925/2663-4023.2025.29.887

Ключові слова:

хмарна безпека, інфраструктура як код (IaC), запобігання хибним конфігураціям, DevSecOps, безпека AWS, автоматизоване тестування безпеки, політики як код, валідація безпечних конфігурацій

Анотація

Хибні конфігурації хмарної інфраструктури стали поширеним та впливовим вектором загроз у сфері кібербезпеки. Особливо це стосується організацій, які використовують сервіси Amazon Web Services (AWS), де неправильно налаштовані засоби контролю доступу, недостатнє ведення журналів подій, слабка сегментація мережі та відсутність критично важливих захисних засобів, таких як міжмережеві екрани вебдодатків (WAF), створюють значні ризики безпеки. Незважаючи на широке впровадження інструментів інфраструктури як коду (IaC), наприклад Terraform та AWS CloudFormation, що забезпечують передбачувані розгортання з контролем версій, ці конфігурації IaC зазвичай не проходять систематичного тестування на безпеку. На відміну від прикладного коду, який регулярно проходить модульні, інтеграційні та безпекові тести, інфраструктурний код рідко тестується за межами базового статичного аналізу чи моніторингу після розгортання. Як наслідок, критичні хибні конфігурації можуть залишатися непоміченими до моменту їх експлуатації зловмисниками. Для вирішення цієї проблеми в роботі запропоновано новий підхід, який названо «інфраструктура як протестований код». Шляхом застосування перевірених технік тестування програмного забезпечення (наприклад, тестових тверджень та робочих процесів безперервної інтеграції) до IaC, запропонована методика дозволяє проводити валідацію стану безпеки AWS-середовища ще до його розгортання. Розроблено та оцінено експериментальний прототип, який автоматизує перевірки безпеки для ресурсів AWS, визначених за допомогою Terraform, з фокусом на ключові конфігурації, такі як правила WAF, політики управління ідентифікацією та доступом (IAM), дозволи на сховища S3 та правила груп безпеки. Тестовий набір побудований на основі відкритих інструментів (Chef InSpec та AWS SDK) і виконується у CI/CD-конвеєрі із використанням LocalStack для емулювання сервісів AWS. Такий підхід дозволяє розробникам та DevSecOps-командам виявляти та виправляти хибні конфігурації на ранніх етапах життєвого циклу розробки, задовго до розгортання інфраструктури у продуктивному середовищі. Експериментальні результати демонструють, що інтеграція автоматизованих тестів безпеки у DevOps-конвеєр суттєво підвищує захист хмарних середовищ та знижує вразливість через неправильні конфігурації. Порівняно з традиційними статичними інструментами аналізу, запропонований підхід забезпечує більшу гнучкість, підтримує специфічні для середовища політики та дозволяє розробникам кодифікувати власні, придатні до тестування безпекові твердження. Навіть мінімальний набір тестів показав ефективність у виявленні критично важливих хибних конфігурацій, які не були зафіксовані статичними перевірками. Ця парадигма доповнює існуючі інструменти хмарної безпеки (AWS Config, Checkov та інші фреймворки політик як коду) і легко інтегрується у процеси DevSecOps. На завершення робота пропонує детальний опис реалізації, реальний практичний приклад застосування та аналіз практичних компромісів. Зроблено висновок, що аналогічно до тест-орієнтованої розробки програмного забезпечення, застосування тест-орієнтованого підходу до інфраструктури може стати критично важливою стратегією для активного забезпечення безпеки хмарних середовищ. Ця праця закладає основу для майбутніх досліджень щодо формалізації практик тестування безпеки IaC, порівняльного аналізу покриття тестами та розробки бібліотек безпекових тверджень для AWS.

Завантаження

Дані завантаження ще не доступні.

Посилання

Wright, D. (2020). The state of cloud security 2020 report: Understanding misconfiguration risk. Cloud Security Alliance. https://cloudsecurityalliance.org/blog/2020/05/05/the-state-of-cloud-security-2020-report-understanding-misconfiguration-risk/

Thales. (2024). Cloud security in 2024: Addressing the shifting landscape. Cloud Security Alliance. https://cloudsecurityalliance.org/blog/2024/06/27/cloud-security-in-2024-addressing-the-shifting-landscape

Stella, J. (2019). A technical analysis of the Capital One cloud misconfiguration breach. Cloud Security Alliance. https://cloudsecurityalliance.org/blog/2019/08/09/a-technical-analysis-of-the-capital-one-cloud-misconfiguration-breach/

War, A., Diallo, A., Habib, A., Klein, J., & Bissyandé, T. F. (2025). Vulnerabilities in infrastructure as code: What, how many, and who? Empirical Software Engineering, 30(5), Article 120. https://doi.org/10.1007/s10664-025-10672-8

Verdet, A., Hamdaqa, M., Da Silva, L., & Khomh, F. (2025). Assessing the adoption of security policies by developers in Terraform across different cloud providers. Empirical Software Engineering, 30, Article 74. https://doi.org/10.1007/s10664-024-10610-0

OWASP (Open Web Application Security Project). (2021). Infrastructure as Code Security Cheat Sheet. OWASP Cheat Sheet Series. https://cheatsheetseries.owasp.org/cheatsheets/Infrastructure_as_Code_Security_Cheat_Sheet.html

Madnick, S. E. (2020). A case study of the Capital One data breach (Working Paper CISL 2020 07). MIT Cybersecurity at MIT Sloan. https://web.mit.edu/smadnick/www/wp/2020-07.pdf

Pahl, C., Gunduz, N. G., Sezen, Ö. C., Ghamgosar, A., & El Ioini, N. (2025). Infrastructure as Code – Technology review and research challenges. In Proceedings of the 15th International Conference on Cloud Computing and Services Science (CLOSER 2025) (pp. 151–158). SciTePress. https://doi.org/10.5220/0013247700003950

AWS Labs. (n.d.). AWS Config Rule Development Kit (RDK) [Computer software]. GitHub. https://github.com/awslabs/aws-config-rdk

Guffey, J. & Li, Y. (2023). Cloud Service Misconfigurations: Emerging Threats, Enterprise Data Breaches and Solutions. https://doi.org/10.1109/CCWC57344.2023.10099296

Yeboah-Ofori, A. et al. (2024). Fortifying Cloud DevSecOps Security Using Terraform Infrastructure as Code Analysis Tools (accepted version). https://doi.org/10.1109/ICECER62944.2024.10920371

Rahman, A. & Williams, L. (2021). “Different Kind of Smells: Security Smells in Infrastructure as Code Scripts,” IEEE Security & Privacy, 19(3), 33-41. https://doi.org/10.1109/MSEC.2021.3065190

SentinelOne. (2025). 50+ Cloud Security Statistics in 2025. SentinelOne. https://www.sentinelone.com/cybersecurity-101/cloud-security/cloud-security-statistics/

Kostiuk, Yu. V., Skladannyi, P. M., Bebeshko, B. T., Khorolska, K. V., Rzaieva, S. L., & Vorokhob, M. V. (2025). Information and communication systems security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Kostiuk, Yu. V., Skladannyi, P. M., Hulak, H. M., Bebeshko, B. T., Khorolska, K. V., & Rzaieva, S. L. (2025). Information security systems. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Hulak, H. M., Zhyltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2023). Enterprise information and cyber security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.