Тестування на проникнення AWS
Що таке тестування на проникнення в AWS?
Тест на проникнення методи та політика відрізняються залежно від організації, у якій ви працюєте. Деякі організації надають більше свободи, а інші мають більше вбудованих протоколів.
Коли ви тестуєте ручку в AWS, ви повинні працювати в рамках політик, які вам дозволяє AWS, оскільки вони є власниками інфраструктури.
Більшість того, що ви можете протестувати, — це конфігурація платформи AWS, а також код програми у вашому середовищі.
Тож… вам, мабуть, цікаво, які тести дозволено виконувати в AWS.
Послуги, надані постачальником
Будь-яка хмарна служба, яка надається стороннім постачальником послуг, закрита для конфігурації та впровадження хмарного середовища, однак інфраструктуру стороннього постачальника безпечно тестувати.
Що мені дозволено тестувати в AWS?
Ось список речей, які вам дозволено тестувати в AWS:
- Різні види мов програмування
- Програми, розміщені в організації, до якої ви належите
- Інтерфейси прикладного програмування (API)
- Операційні системи і віртуальні машини
Що мені заборонено проводити пентестування в AWS?
Ось список деяких речей, які не можна тестувати на AWS:
- Програми Saas, які належать AWS
- Сторонні програми Saas
- Фізичне обладнання, інфраструктура чи будь-що, що належить AWS
- RDS
- Усе, що належить іншому постачальнику
Як я маю підготуватися до пентесту?
Ось список кроків, які слід виконати перед пентестуванням:
- Визначте обсяг проекту, включаючи середовища AWS і цільові системи
- Визначте, який тип звітності ви включите у свої висновки
- Створіть процеси для вашої команди під час проведення пентестування
- Якщо ви працюєте з клієнтом, обов’язково підготуйте графік для різних етапів тестування
- Завжди отримуйте письмовий дозвіл від вашого клієнта або начальства, коли виконуєте пентестування. Це може включати контракти, форми, обсяги та терміни.