Тестирование на проникновение AWS
Что такое тестирование на проникновение AWS?
Тестирование на проникновение методы и политики различаются в зависимости от организации, в которой вы работаете. Некоторые организации предоставляют больше свободы, в то время как другие имеют больше встроенных протоколов.
Когда вы проводите тестирование пера в AWS, вы должны работать в рамках политик, которые позволяет вам AWS, потому что они являются владельцами инфраструктуры.
Большая часть того, что вы можете протестировать, — это ваша конфигурация для платформы AWS, а также код приложения в вашей среде.
Итак… вам, наверное, интересно, какие тесты разрешено выполнять в AWS.
Услуги поставщика
Любая облачная служба, предоставляемая сторонним поставщиком услуг, закрыта для настройки и реализации облачной среды, однако инфраструктура стороннего поставщика безопасна для тестирования.
Что мне разрешено тестировать в AWS?
Вот список того, что вам разрешено тестировать в AWS:
- Различные типы языков программирования
- Приложения, размещенные организацией, к которой вы принадлежите
- Интерфейсы прикладного программирования (API)
- Операционные системы и виртуальные машины
Что мне не разрешено проводить пентестом в AWS?
Вот список некоторых вещей, которые нельзя протестировать на AWS:
- Приложения Saas, принадлежащие AWS
- Сторонние Saas-приложения
- Физическое оборудование, инфраструктура или все, что принадлежит AWS.
- RDS
- Все, что принадлежит другому поставщику
Как мне подготовиться перед пентестом?
Вот список шагов, которые вы должны выполнить перед пентестом:
- Определите масштаб проекта, включая среды AWS и целевые системы.
- Определите, какой тип отчетности вы будете включать в свои выводы
- Создайте процессы, которым будет следовать ваша команда при пентестировании
- Если вы работаете с клиентом, обязательно подготовьте временную шкалу для различных этапов тестирования.
- Всегда получайте письменное одобрение от вашего клиента или начальства при проведении пентеста. Это может включать контракты, формы, объемы и сроки.