Testy penetracyjne AWS
Co to są testy penetracyjne AWS?
Testy penetracyjne metody i zasady różnią się w zależności od organizacji, w której się znajdujesz. Niektóre organizacje zapewniają więcej swobód, podczas gdy inne mają wbudowane więcej protokołów.
Kiedy przeprowadzasz testy piórem w AWS, musisz pracować w ramach zasad, na które pozwala Ci AWS, ponieważ są właścicielami infrastruktury.
Większość tego, co możesz przetestować, to konfiguracja do platformy AWS, a także kod aplikacji w twoim środowisku.
Więc… pewnie zastanawiasz się, jakie testy można wykonywać w AWS.
Usługi obsługiwane przez dostawcę
Każda usługa w chmurze świadczona przez zewnętrznego dostawcę usług jest zamknięta na konfigurację i wdrożenie środowiska chmurowego, jednak infrastruktura pod usługą zewnętrznego dostawcy jest bezpieczna do przetestowania.
Co mogę testować w AWS?
Oto lista rzeczy, które możesz testować w AWS:
- Różne rodzaje języków programowania
- Aplikacje hostowane przez organizację, do której należysz
- Interfejsy programowania aplikacji (API)
- Systemy operacyjne i maszyn wirtualnych
Czego nie wolno mi przeprowadzać pentestu w AWS?
Oto lista niektórych rzeczy, których nie można przetestować w AWS:
- Aplikacje Saas należące do AWS
- Aplikacje Saas innych firm
- Fizyczny sprzęt, infrastruktura lub cokolwiek, co należy do AWS
- RDS
- Wszystko należące do innego sprzedawcy
Jak powinienem się przygotować przed Pentestingiem?
Oto lista kroków, które należy wykonać przed pentestem:
- Zdefiniuj zakres projektu uwzględniający środowiska AWS i systemy docelowe
- Ustal, jaki rodzaj raportów uwzględnisz w swoich ustaleniach
- Stwórz procesy, których Twój zespół będzie przestrzegać podczas przeprowadzania pentestów
- Jeśli pracujesz z klientem, przygotuj harmonogram dla różnych faz testowania
- Zawsze uzyskaj pisemną zgodę swojego klienta lub przełożonych na przeprowadzanie pentestów. Może to obejmować umowy, formularze, zakresy i ramy czasowe.