Изменение иерархии облачных ресурсов

Злоумышленники могут пытаться изменить иерархические структуры в средах инфраструктуры как услуги (IaaS), чтобы уклониться от защиты. Среды IaaS часто группируют ресурсы в иерархию, обеспечивая улучшенное управление ресурсами и применение политик к соответствующим группам. Иерархические структуры различаются среди облачных провайдеров. Например, в средах AWS несколько учетных записей могут быть сгруппированы под одной организацией, в то время как в средах Azure несколько подписок могут быть сгруппированы под одной группой управления. Злоумышленники могут добавлять, удалять или иным образом изменять группы ресурсов в иерархии IaaS. Например, в средах Azure злоумышленник, получивший доступ к учетной записи глобального администратора, может создавать новые подписки, в которых можно развертывать ресурсы. Они также могут заниматься перехватом подписок, передавая существующую подписку с оплатой по мере использования от арендатора жертвы в арендатор, контролируемый злоумышленником. Это позволит злоумышленнику использовать вычислительные ресурсы жертвы без создания журналов в арендаторе жертвы. В средах AWS злоумышленники с соответствующими разрешениями в данной учетной записи могут вызвать API `LeaveOrganization`, что приведет к отделению учетной записи от AWS Organization, к которой она была привязана, и удалению любых политик контроля служб, ограждений или ограничений, наложенных на нее бывшей организацией. В качестве альтернативы злоумышленники могут вызвать API `CreateAccount`, чтобы создать новую учетную запись в AWS Organization. Эта учетная запись будет использовать те же методы оплаты, зарегистрированные в платежной учетной записи, но может не подпадать под существующие обнаружения или политики контроля служб.