Pentesting Cloud y Contenedores

  • Abilways
  • }
Pentesting Cloud y Contenedores
28
Abr

Esta formación en pentesting cloud permite aprender a auditar y evaluar la seguridad de entornos Cloud (AWS, Azure, GCP) y plataformas de contenedores como Docker y Kubernetes.

A lo largo del curso, se trabajan técnicas de reconocimiento, análisis de configuraciones, explotación de vulnerabilidades y post-explotación en entornos Cloud. Además, se abordan auditorías de Kubernetes, escaneo de imágenes de contenedores y escenarios prácticos tipo Capture-the-Flag para aplicar los conocimientos en situaciones reales.

Objetivos

Objetivos de la formación pentesting cloud

Al finalizar esta formación, será capaz de:

• Cartografiar y analizar entornos Cloud (AWS, Azure, GCP) para preparar un pentest
• Utilizar herramientas como Prowler y ScoutSuite para auditoría de configuraciones
• Identificar y explotar malas configuraciones en servicios Cloud (IAM, S3, Azure AD, funciones serverless)
• Auditar plataformas de contenedores (Docker, Kubernetes)
• Detectar vulnerabilidades en imágenes de contenedores
• Redactar un informe de pentest con recomendaciones de hardening

Programa

Programa de la formación pentesting cloud

Día 1 – Mañana

Introducción al pentest Cloud

• Scope
• Límites (responsabilidad compartida)
• Aspectos legales Cloud

Cartografía de un entorno Cloud

• Arquitectura
• Cuentas
• RBAC
• Flujos de red

Ejemplos de ejercicios prácticos

• Creación de una cuenta de prueba AWS / Azure / GCP

Día 1 – Tarde

Reconocimiento automatizado

• Prowler (AWS CIS benchmarks)
• ScoutSuite (multi-cloud)

Ejercicios prácticos

• Ejecución de un scan con ScoutSuite

Día 2 – Mañana

Análisis de configuraciones IAM

• Privilege escalation en AWS IAM
• Policies demasiado permisivas
• Role chaining

Ejercicios prácticos

• Explotación de una policy IAM mal configurada

Día 2 – Tarde

Ataques a servicios Cloud

• AWS S3 (enumeración, acceso)
• Azure Blob Storage
• GCP Storage

Serverless

• AWS Lambda
• Azure Functions

Ejercicios prácticos

• Pruebas sobre funciones serverless

Día 3 – Mañana

Pentest Kubernetes

• Reconocimiento con kube-hunter
• Enumeración con kubectl

Ejercicios prácticos

• Identificación de recursos en el clúster

Día 3 – Tarde

Seguridad de contenedores

• Escaneo de imágenes con Trivy, Clair, Anchore
• Buenas prácticas en Dockerfile

Ejercicios prácticos

• Análisis de vulnerabilidades en imágenes

Día 4 – Mañana

Ataques en Kubernetes

• RBAC misconfiguration
• Privilege escalation
• Ejecución de pods

Ejercicios prácticos

• Explotación de un ServiceAccount

Día 4 – Tarde

Post-explotación

• Exposición de secrets (Kubernetes, AWS)
• Uso de credenciales comprometidas

Ejercicios prácticos

• Acceso a recursos adicionales

Día 5 – Mañana

Escenario práctico (CTF)

• Laboratorio Cloud + Kubernetes
• Ejecución de ataque completo

Día 5 – Tarde

Restitución

• Informe de pentest
• Recomendaciones de hardening

Ejercicios prácticos

• Presentación de resultados

Duración

5 días

Metodología

Metodología de la formación pentesting cloud

• Formación presencial o a distancia
• Métodos demostrativo, interrogativo y activo con ejercicios prácticos

Evaluación de la formación pentesting cloud

• Durante la formación: ejercicios prácticos
• Al final: cuestionario de autoevaluación

Bonificación Fundae

Esta formación es bonificable a través de FUNDAE para todas las empresas que cuenten con trabajadores en régimen general de la Seguridad Social y dispongan de crédito formativo. SKOLAE Formación gestiona todo el proceso administrativo necesario para que tu empresa pueda recuperar el importe invertido en la formación, siempre que se cumplan los requisitos legales y de comunicación establecidos por FUNDAE.

Formador

La formación es impartida por un experto en ciberseguridad Cloud y pentesting con amplia experiencia en auditorías de seguridad en entornos AWS, Azure y GCP, así como en infraestructuras basadas en Kubernetes y contenedores.

Cuenta con experiencia práctica en evaluaciones de seguridad, detección de vulnerabilidades, explotación de configuraciones erróneas y respuesta ante incidentes en entornos Cloud empresariales. Ha participado en proyectos de auditoría, hardening y mejora de la postura de seguridad en organizaciones con arquitecturas multi-cloud y entornos DevSecOps.

Su enfoque es eminentemente práctico, orientado a escenarios reales de ataque, utilizando herramientas estándar del sector y metodologías reconocidas para preparar a los participantes en contextos profesionales de pentesting y seguridad Cloud.

Objetivos

Objetivos de la formación pentesting cloud

Al finalizar esta formación, será capaz de:

• Cartografiar y analizar entornos Cloud (AWS, Azure, GCP) para preparar un pentest
• Utilizar herramientas como Prowler y ScoutSuite para auditoría de configuraciones
• Identificar y explotar malas configuraciones en servicios Cloud (IAM, S3, Azure AD, funciones serverless)
• Auditar plataformas de contenedores (Docker, Kubernetes)
• Detectar vulnerabilidades en imágenes de contenedores
• Redactar un informe de pentest con recomendaciones de hardening

Duración

5 días

Programa

Programa de la formación pentesting cloud

Día 1 – Mañana

Introducción al pentest Cloud

• Scope
• Límites (responsabilidad compartida)
• Aspectos legales Cloud

Cartografía de un entorno Cloud

• Arquitectura
• Cuentas
• RBAC
• Flujos de red

Ejemplos de ejercicios prácticos

• Creación de una cuenta de prueba AWS / Azure / GCP

Día 1 – Tarde

Reconocimiento automatizado

• Prowler (AWS CIS benchmarks)
• ScoutSuite (multi-cloud)

Ejercicios prácticos

• Ejecución de un scan con ScoutSuite

Día 2 – Mañana

Análisis de configuraciones IAM

• Privilege escalation en AWS IAM
• Policies demasiado permisivas
• Role chaining

Ejercicios prácticos

• Explotación de una policy IAM mal configurada

Día 2 – Tarde

Ataques a servicios Cloud

• AWS S3 (enumeración, acceso)
• Azure Blob Storage
• GCP Storage

Serverless

• AWS Lambda
• Azure Functions

Ejercicios prácticos

• Pruebas sobre funciones serverless

Día 3 – Mañana

Pentest Kubernetes

• Reconocimiento con kube-hunter
• Enumeración con kubectl

Ejercicios prácticos

• Identificación de recursos en el clúster

Día 3 – Tarde

Seguridad de contenedores

• Escaneo de imágenes con Trivy, Clair, Anchore
• Buenas prácticas en Dockerfile

Ejercicios prácticos

• Análisis de vulnerabilidades en imágenes

Día 4 – Mañana

Ataques en Kubernetes

• RBAC misconfiguration
• Privilege escalation
• Ejecución de pods

Ejercicios prácticos

• Explotación de un ServiceAccount

Día 4 – Tarde

Post-explotación

• Exposición de secrets (Kubernetes, AWS)
• Uso de credenciales comprometidas

Ejercicios prácticos

• Acceso a recursos adicionales

Día 5 – Mañana

Escenario práctico (CTF)

• Laboratorio Cloud + Kubernetes
• Ejecución de ataque completo

Día 5 – Tarde

Restitución

• Informe de pentest
• Recomendaciones de hardening

Ejercicios prácticos

• Presentación de resultados

Metodología

Metodología de la formación pentesting cloud

• Formación presencial o a distancia
• Métodos demostrativo, interrogativo y activo con ejercicios prácticos

Evaluación de la formación pentesting cloud

• Durante la formación: ejercicios prácticos
• Al final: cuestionario de autoevaluación

Bonificación Fundae

Esta formación es bonificable a través de FUNDAE para todas las empresas que cuenten con trabajadores en régimen general de la Seguridad Social y dispongan de crédito formativo. SKOLAE Formación gestiona todo el proceso administrativo necesario para que tu empresa pueda recuperar el importe invertido en la formación, siempre que se cumplan los requisitos legales y de comunicación establecidos por FUNDAE.

Formador

La formación es impartida por un experto en ciberseguridad Cloud y pentesting con amplia experiencia en auditorías de seguridad en entornos AWS, Azure y GCP, así como en infraestructuras basadas en Kubernetes y contenedores.

Cuenta con experiencia práctica en evaluaciones de seguridad, detección de vulnerabilidades, explotación de configuraciones erróneas y respuesta ante incidentes en entornos Cloud empresariales. Ha participado en proyectos de auditoría, hardening y mejora de la postura de seguridad en organizaciones con arquitecturas multi-cloud y entornos DevSecOps.

Su enfoque es eminentemente práctico, orientado a escenarios reales de ataque, utilizando herramientas estándar del sector y metodologías reconocidas para preparar a los participantes en contextos profesionales de pentesting y seguridad Cloud.

¿Te gustó esta formación? Suscríbete a nuestra Newsletter pinchando aquí. También te animamos a seguirnos en LinkedInInstagram y Facebook y así estarás al día de todas nuestras novedades.

No disponible

¿Quieres hacer esta formación en tu empresa?

¡Pídenos una propuesta!

Cursos relacionados

Copilot en Excel: aumenta tu productividad

Copilot en Excel: aumenta tu productividad

IA para gestores de proyectos TIC

IA para gestores de proyectos TIC

Seguridad de la IA: Anticipar y Dominar los Riesgos Emergentes

Seguridad de la IA: Anticipar y Dominar los Riesgos Emergentes

Gestión de Proyectos con Inteligencia Artificial

Gestión de Proyectos con Inteligencia Artificial

Integrar Cursor AI en los Procesos de Desarrollo

Integrar Cursor AI en los Procesos de Desarrollo

IA de nueva generación: Más allá de los LLM

IA de nueva generación: Más allá de los LLM