Preskušanje penetracije AWS
Kaj je penetracijsko testiranje AWS?
Penetracijsko testiranje metode in pravilniki se razlikujejo glede na organizacijo, v kateri ste. Nekatere organizacije dopuščajo več svoboščin, medtem ko imajo druge vgrajenih več protokolov.
Ko opravljate testiranje peresa v AWS, morate delati v okviru politik, ki vam jih AWS omogoča, ker so lastniki infrastrukture.
Večino tega, kar lahko preizkusite, je vaša konfiguracija platforme AWS in koda aplikacije v vašem okolju.
Torej … verjetno se sprašujete, katere teste je dovoljeno izvajati v AWS.
Storitve, ki jih upravlja prodajalec
Vsaka storitev v oblaku, ki jo zagotavlja ponudnik storitev tretje osebe, je zaprta za konfiguracijo in implementacijo okolja v oblaku, vendar je infrastruktura pod ponudnikom tretje osebe varna za testiranje.
Kaj lahko testiram v AWS?
Tukaj je seznam stvari, ki jih lahko testirate v AWS:
- Različne vrste programskih jezikov
- Aplikacije, ki jih gosti organizacija, ki ji pripadate
- Aplikacijski vmesniki za programiranje (API-ji)
- Operacijski sistemi in virtualni stroji
Česa ne smem pentestirati v AWS?
Tukaj je seznam nekaterih stvari, ki jih ni mogoče preizkusiti na AWS:
- Aplikacije Saas, ki pripadajo AWS
- Aplikacije Saas tretjih oseb
- Fizična strojna oprema, infrastruktura ali karkoli, kar pripada AWS
- RDS
- Vse, kar pripada drugemu prodajalcu
Kako naj se pripravim pred pentestiranjem?
Tukaj je seznam korakov, ki jih morate upoštevati pred pentestiranjem:
- Določite obseg projekta, vključno z okolji AWS in ciljnimi sistemi
- Določite vrsto poročanja, ki ga boste vključili v svoje ugotovitve
- Ustvarite postopke, ki jih bo vaša ekipa upoštevala pri izvajanju pentestiranja
- Če delate s stranko, poskrbite za pripravo časovnice za različne faze testiranja
- Pri izvajanju pentestiranja vedno pridobite pisno odobritev vaše stranke ali nadrejenih. To lahko vključuje pogodbe, obrazce, obsege in časovnice.