Perché ti serve
Cloud non significa sicuro. Significa sicuro se sai cosa stai facendo. Studi del settore (IBM Cost of Data Breach, Verizon DBIR) attribuiscono la maggior parte dei breach cloud a errori di configurazione del cliente, non a vulnerabilità del provider. Bucket S3 pubblici, IAM con permessi troppo larghi, secrets dimenticati nei tag, logging disabilitato: classici.
Quello che vedo continuamente: aziende che migrano in cloud "per avere più sicurezza", lasciando le decisioni tecniche al primo sviluppatore disponibile o a un fornitore esterno con scope limitato. Sei mesi dopo nessuno sa più chi ha accesso a cosa. L'audit cloud serve a fermare un attimo, fare il punto, capire dove sono i tuoi dati davvero, e chi può vederli.
Cosa è incluso
- ✓ Audit configurazione IAM (utenti, ruoli, policy)
- ✓ Verifica MFA su account privilegiati
- ✓ Storage exposure: S3 / Blob / GCS pubblici
- ✓ Network security: Security Groups, NACL, VPC peering
- ✓ Secrets management: secret nei codici, env, tags
- ✓ Logging e monitoring: CloudTrail, Activity Log, Audit Logs
- ✓ Encryption at rest e in transit
- ✓ Verifica conformità benchmark CIS AWS/Azure/GCP
- ✓ Identificazione public exposure (Shodan/Censys per assets cloud)
- ✓ Container security base (ECR, ACR, GCR, immagini con CVE)
- ✓ Report con priorità e cost estimate per remediation
- ✓ Riunione di chiusura 1 ora
Metodologia
Audit grey-box: mi fornisci un account read-only sull'ambiente cloud. Uso tool come Prowler (AWS), ScoutSuite (multi-cloud), PMapper, e analisi manuale per ridurre falsi positivi.
01
Briefing
Discussione architettura, servizi cloud usati, account multi-account / subscription.
02
Read-only access
Mi fornisci credenziali con policy ReadOnlyAccess (AWS) / Reader (Azure) / Viewer (GCP).
03
Automated scan
Prowler, ScoutSuite, CloudSploit. Generazione baseline benchmark CIS.
04
Manual review
Analisi findings critici + verifica privilegi che gli automated scanner non vedono.
05
Path analysis
Per AWS: PMapper per privilege escalation paths. Per Azure: tool simili Azure-AD.
06
Reporting + Debrief
Report con remediation prioritizzata e cost-impact.
Quando ti serve
- Hai migrato (o stai migrando) in cloud da on-premise
- Usi AWS / Azure / Google Cloud da 6+ mesi senza audit
- Hai più sviluppatori con accessi cloud diretti
- Stai per certificarti ISO 27001 o SOC 2
- Hai sospetti di account compromesso (login da geo strane)
- Vuoi ridurre i costi cloud (l'audit identifica anche risorse inutilizzate)
FAQ
Serve accesso completo all'account?
No, ReadOnlyAccess basta per il 95% del lavoro. Per alcuni test specifici (es. simulazione di privilege escalation reale) chiedo permessi temporanei specifici, sempre concordati e revocati a fine test.
Coprite tutti e 3 i provider cloud?
Sì: AWS, Azure, Google Cloud. Per AWS ho l'esperienza più approfondita (è il più diffuso). Per cloud più di nicchia (Oracle, IBM, Alibaba): preventivo dedicato, ma fattibile.
E se uso Kubernetes o servizi serverless?
Kubernetes (EKS/AKS/GKE) e serverless (Lambda/Functions) sono inclusi nell'audit base se sono parte del tuo stack. Container security profonda (immagini, runtime) è opzionale.
I costi del cloud aumentano durante il test?
No. L'audit è read-only e non genera carico apprezzabile. Su account grandi parliamo di pochi centesimi di chiamate API. Lo specifichiamo nelle RoE.
Mi trovate anche le risorse inutilizzate che mi costano?
Sì, è un side-effect molto apprezzato. Spesso identifico EBS volumes orfani, snapshot vecchi, NAT gateway non usati. I clienti recuperano spesso 100-500€/mese di costi cloud.