Тестване за проникване на AWS
Какво е AWS тест за проникване?
Изпитване за проникване методите и политиките се различават в зависимост от организацията, в която се намирате. Някои организации позволяват повече свободи, докато други имат повече вградени протоколи.
Когато правите тестване на писалка в AWS, трябва да работите в рамките на политиките, които AWS ви позволява, защото те са собственици на инфраструктурата.
Повечето от това, което можете да тествате, е вашата конфигурация към платформата AWS, както и код на приложение във вашата среда.
И така… вероятно се чудите какви тестове са разрешени за извършване в AWS.
Услуги, управлявани от потребителя
Всяко тестване на сигурността, което включва облачни конфигурации, изградени от потребителя, е приемливо съгласно политиката на AWS. Възможно е дори да изпълнявате определени видове атаки върху екземпляри на вашето творение.
Услуги, управлявани от доставчика
Всяка облачна услуга, която се предоставя от доставчик на услуги трета страна, е затворена за конфигурацията и внедряването на облачната среда, но инфраструктурата под доставчика трета страна е безопасна за тестване.
Какво имам право да тествам в AWS?
Ето списък с неща, които имате право да тествате в AWS:
- Различни видове езици за програмиране
- Приложения, които се хостват от организацията, към която принадлежите
- Интерфейси за приложно програмиране (API)
- Операционни системи и виртуални машини
Какво не ми е разрешено да тествам в AWS?
Ето списък на някои от нещата, които не могат да бъдат тествани на AWS:
- Saas приложения, които принадлежат на AWS
- Saas приложения на трети страни
- Физически хардуер, инфраструктура или нещо, което принадлежи на AWS
- RDS
- Всичко, принадлежащо на друг доставчик
Как трябва да се подготвя преди петтест?
Ето списък със стъпки, които трябва да изпълните преди пентест:
- Определете обхвата на проекта, включително средите на AWS и вашите целеви системи
- Определете какъв тип докладване ще включите във вашите констатации
- Създайте процеси, които вашият екип да следва, когато извършва пентест
- Ако работите с клиент, не забравяйте да подготвите график за различните фази на тестване
- Винаги получавайте писмено одобрение от вашия клиент или началници, когато правите пентест. Това може да включва договори, формуляри, обхвати и срокове.
