Тестване за проникване на AWS

Преди 2 години

Тестване за проникване на AWS

Какво е AWS тест за проникване?

Изпитване за проникване методите и политиките се различават в зависимост от организацията, в която се намирате. Някои организации позволяват повече свободи, докато други имат повече вградени протоколи.

Когато правите тестване на писалка в AWS, трябва да работите в рамките на политиките, които AWS ви позволява, защото те са собственици на инфраструктурата.

Повечето от това, което можете да тествате, е вашата конфигурация към платформата AWS, както и код на приложение във вашата среда.

И така… вероятно се чудите какви тестове са разрешени за извършване в AWS.

Услуги, управлявани от потребителя

Всяко тестване на сигурността, което включва облачни конфигурации, изградени от потребителя, е приемливо съгласно политиката на AWS. Възможно е дори да изпълнявате определени видове атаки върху екземпляри на вашето творение.

Услуги, управлявани от доставчика

Всяка облачна услуга, която се предоставя от доставчик на услуги трета страна, е затворена за конфигурацията и внедряването на облачната среда, но инфраструктурата под доставчика трета страна е безопасна за тестване.

Какво имам право да тествам в AWS?

Ето списък с неща, които имате право да тествате в AWS:

Различни видове езици за програмиране
Приложения, които се хостват от организацията, към която принадлежите
Интерфейси за приложно програмиране (API)
Операционни системи и виртуални машини

Какво не ми е разрешено да тествам в AWS?

Ето списък на някои от нещата, които не могат да бъдат тествани на AWS:

Saas приложения, които принадлежат на AWS
Saas приложения на трети страни
Физически хардуер, инфраструктура или нещо, което принадлежи на AWS
RDS
Всичко, принадлежащо на друг доставчик

Как трябва да се подготвя преди петтест?

Ето списък със стъпки, които трябва да изпълните преди пентест:

Определете обхвата на проекта, включително средите на AWS и вашите целеви системи
Определете какъв тип докладване ще включите във вашите констатации
Създайте процеси, които вашият екип да следва, когато извършва пентест
Ако работите с клиент, не забравяйте да подготвите график за различните фази на тестване
Винаги получавайте писмено одобрение от вашия клиент или началници, когато правите пентест. Това може да включва договори, формуляри, обхвати и срокове.