GOATX
voltar para roadmap
CLOUD

Cloud & DevSecOps Pentest — por onde começar

Empresas estão migrando tudo para AWS, Azure, GCP e Kubernetes. Quem souber explorar nuvem em 2026 vai cobrar caro — pouca gente domina.

pré-requisitos

  • Pentest Web e Redes básico
  • Linux, Docker e linha de comando avançada
  • Conhecer pelo menos UM provedor (AWS é o mais demandado)

labs para praticar

trilha passo a passo

  1. 1

    1. Modelo de responsabilidade compartilhada

    Entenda o que é responsabilidade do provedor (hardware, hypervisor) vs do cliente (config, IAM, dados). 99% dos breaches em cloud são erro de config do cliente.

    AWS Shared Responsibility
  2. 2

    2. Fundamentos AWS

    IAM (users, roles, policies), S3, EC2, Lambda, VPC, CloudTrail. Crie conta free tier e brinque. Erro #1 em pentest cloud: bucket S3 público.

    AWS Free Tier
  3. 3

    3. IAM enumeration e privesc

    Pacu, ScoutSuite, enumerate-iam. Quando consegue uma chave AWS, sabe identificar permissões e escalar via 21 técnicas conhecidas (PassRole, AttachUserPolicy, lambda:InvokeFunction etc).

    Pacu HackTricks Cloud
  4. 4

    4. Containers & Docker

    Escape de container (privileged, mount host /, /var/run/docker.sock exposto), trivy/grype pra scan de imagem, distroless basics. Aprenda a auditar Dockerfile.

    Trivy
  5. 5

    5. Kubernetes

    Pods, Services, RBAC, Service Accounts. Ataques: kubelet aberto, etcd exposto, Service Account com cluster-admin, pod escapando pro node. Kubescape e kube-hunter são essenciais.

    kube-hunter Kubernetes Goat
  6. 6

    6. CI/CD security

    Pipeline poisoning (GitHub Actions, GitLab CI), secret leak em logs, branch protection bypass, supply chain attack. Estude o caso CodeCov/SolarWinds.

    OWASP Top 10 CI/CD
  7. 7

    7. Azure & GCP basics

    Azure: AD/Entra, Service Principals, Storage Accounts, Function Apps. GCP: Service Accounts, Cloud Functions, IAM bindings. Padrões de ataque parecidos com AWS, ferramentas: ROADtools, MicroBurst, GCPBucketBrute.

dicas de quem já passou pela trilha

  • Toda chave AWS começa com 'AKIA' (long-term) ou 'ASIA' (temp). Decore — vai ver vazada em commit GitHub semanalmente.
  • Antes de qualquer ataque cloud, identifique a região e a conta — atacar conta errada dá cadeia.
  • CloudTrail loga TUDO. Em red team, primeiro check é se logging tá ativo na região alvo.
  • Bucket S3 público + listing ativo = jackpot. Use s3-bucket-finder e dorks 'site:s3.amazonaws.com'.
  • Em Kubernetes, sempre cheque tokens em /var/run/secrets/kubernetes.io/serviceaccount/token primeiro.
  • Docker socket montado (/var/run/docker.sock) dentro de container = root no host. Procure SEMPRE.
  • Para CI/CD: tente injetar comando em PR de fork — muitos repos rodam workflow sem aprovação.

ferramentas essenciais

Pacu

Metasploit pra AWS

ScoutSuite

Auditoria multi-cloud (AWS/Azure/GCP)

Prowler

Compliance + security checks AWS/Azure/GCP

kubectl + kube-hunter

Recon e exploit de clusters

Trivy

Scanner de vulnerabilidades em imagem/IaC

TruffleHog

Caça secrets em git/S3/buckets

livros recomendados

  • Hacking Kubernetes (Martin & Hausenblas)
  • AWS Penetration Testing (Helmus)
  • Container Security (Rice)