HackTricks CloudAWS - EMR Enum
Tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Consulta los subscription plans!
- 脷nete al 馃挰 Discord group o al telegram group o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.
EMR
El servicio Elastic MapReduce (EMR) de AWS, a partir de la versi贸n 4.8.0, introdujo una caracter铆stica de configuraci贸n de seguridad que mejora la protecci贸n de datos al permitir a los usuarios especificar configuraciones de cifrado para datos en reposo y en tr谩nsito dentro de los cl煤steres EMR, que son grupos escalables de instancias EC2 dise帽adas para procesar marcos de big data como Apache Hadoop y Spark.
Las caracter铆sticas clave incluyen:
- Cifrado de Cl煤ster por Defecto: Por defecto, los datos en reposo dentro de un cl煤ster no est谩n cifrados. Sin embargo, habilitar el cifrado proporciona acceso a varias caracter铆sticas:
- Configuraci贸n Unificada de Clave de Linux: Cifra los vol煤menes de cl煤ster EBS. Los usuarios pueden optar por el Servicio de Gesti贸n de Claves de AWS (KMS) o un proveedor de claves personalizado.
- Cifrado HDFS de C贸digo Abierto: Ofrece dos opciones de cifrado para Hadoop:
- RPC (Llamada a Procedimiento Remoto) de Hadoop Seguro, configurado para privacidad, aprovechando la Capa de Seguridad de Autenticaci贸n Simple.
- Cifrado de transferencia de bloques HDFS, configurado como verdadero, utiliza el algoritmo AES-256.
- Cifrado en Tr谩nsito: Se centra en asegurar los datos durante la transferencia. Las opciones incluyen:
- Capa de Seguridad de Transporte (TLS) de C贸digo Abierto: El cifrado se puede habilitar eligiendo un proveedor de certificados:
- PEM: Requiere la creaci贸n manual y agrupaci贸n de certificados PEM en un archivo zip, referenciado desde un bucket S3.
- Personalizado: Implica agregar una clase Java personalizada como proveedor de certificados que suministra artefactos de cifrado.
Una vez que se integra un proveedor de certificados TLS en la configuraci贸n de seguridad, se pueden activar las siguientes caracter铆sticas de cifrado espec铆ficas de la aplicaci贸n, variando seg煤n la versi贸n de EMR:
- Hadoop:
- Puede reducir el shuffle cifrado usando TLS.
- RPC de Hadoop Seguro con Capa de Seguridad de Autenticaci贸n Simple y Transferencia de Bloques HDFS con AES-256 se activan con cifrado en reposo.
- Presto (versi贸n EMR 5.6.0+):
- La comunicaci贸n interna entre nodos de Presto est谩 asegurada usando SSL y TLS.
- Tez Shuffle Handler:
- Utiliza TLS para cifrado.
- Spark:
- Emplea TLS para el protocolo Akka.
- Usa Capa de Seguridad de Autenticaci贸n Simple y 3DES para el Servicio de Transferencia de Bloques.
- El servicio de shuffle externo est谩 asegurado con la Capa de Seguridad de Autenticaci贸n Simple.
Estas caracter铆sticas mejoran colectivamente la postura de seguridad de los cl煤steres EMR, especialmente en lo que respecta a la protecci贸n de datos durante las fases de almacenamiento y transmisi贸n.
Enumeration
aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs
Privesc
Referencias
Tip
Aprende y practica AWS Hacking:
Aprende y practica GCP Hacking:
Aprende y practica Az Hacking:Apoya a HackTricks
- Consulta los subscription plans!
- 脷nete al 馃挰 Discord group o al telegram group o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.