Cloud pentest: hoe beveilig je AWS, Azure en Google Cloud?
Steeds meer organisaties draaien hun infrastructuur volledig of gedeeltelijk in de cloud. AWS, Azure en Google Cloud bieden veel beveiligingsopties — maar misconfiguraties, slechte IAM-instellingen en onveilige applicaties zijn ook in de cloud een dagelijkse realiteit. Hoe werkt een cloud pentest en wat wordt er precies getest?
Wat maakt een cloud pentest anders?
Bij een traditionele pentest test je servers, netwerken en applicaties. Bij een cloud pentest komen daar specifieke cloud-aspecten bij:
- IAM-rechten (Identity and Access Management) — te brede rollen, ongebruikte service accounts, keys die nooit roteren
- Misconfiguraties — openbaar toegankelijke S3-buckets, Azure Blob Storage zonder authenticatie, publiek blootgestelde databases
- Serverless kwetsbaarheden — onveilige Lambda-functies, Cloud Functions of Azure Functions
- Container en Kubernetes-beveiliging — onbeveiligde cluster-API’s, te brede pod-rechten, secrets in environment variables
- Netwerkconfiguratie — te open security groups, VPC-peering zonder segmentatie
Wat wordt getest per cloud-platform?
Amazon Web Services (AWS)
- IAM policies en privilege escalation via misconfigured roles
- S3 bucket permissions (public read/write, ACL misconfigs)
- EC2 instance metadata service (IMDSv1 misbruik)
- Lambda function injection en over-permissive execution roles
- CloudTrail logging: wordt alles gelogd en gedetecteerd?
Microsoft Azure
- Azure AD / Entra ID: guest accounts, conditional access gaps
- Blob Storage en Azure Files: publieke toegang, SAS-token misbruik
- Managed identities en service principal rechten
- Azure Functions en Logic Apps: onveilige triggers
- Azure Security Center alerts: worden ze opgevolgd?
Google Cloud Platform (GCP)
- Service account keys: lange levensduur, breed gebruik
- GCS bucket permissions
- Compute Engine metadata server
- Cloud Run en Cloud Functions beveiligingsinstellingen
Mogen we zomaar een cloud pentest uitvoeren?
Ja, mits u de eigenaar bent van de cloudomgeving. AWS, Azure en GCP staan pentests toe op eigen omgevingen zonder voorafgaande goedkeuring — maar er zijn regels:
- AWS — geen pre-melding nodig voor pentests op eigen resources, maar DDoS-simulaties zijn verboden
- Azure — geen pre-melding nodig, maar activiteiten mogen de diensten van andere klanten niet beïnvloeden
- GCP — vergelijkbare regels; raadpleeg de actuele Cloud Acceptable Use Policy
Hoe verhoudt een cloud pentest zich tot traditioneel pentesten?
Een cloud pentest vervangt een webapplicatie- of infrastructuurpentest niet — het is een aanvulling. Ideaal is een gecombineerde aanpak: applicatielaag (webapplicatie pentest), infrastructuurlaag (externe pentest) én cloudconfiguratie (cloud review). MonkeysICT combineert deze op verzoek in één assessment.
FAQ
Hebben jullie cloud-specifieke certificeringen?
Onze pentesters hebben ervaring met AWS- en Azure-omgevingen en zijn gecertificeerd via OSCP, OSWE en OSEP — methodieken die ook op cloudinfrastructuur worden toegepast. Voor diepgaande cloud-native assessments (bijv. Kubernetes red teaming) werken we samen met specialisten.
Wat kost een cloud pentest?
Afhankelijk van scope: een gerichte IAM- en configuratiereview begint rond €2.000. Een volledig cloud security assessment inclusief applicatielaag begint rond €5.000. Vraag een offerte op voor uw specifieke situatie.
