AWS penetrationstest
Hvad er AWS Penetration Testing?
Penetrationstest metoder og politikker er forskellige baseret på den organisation, du er i. Nogle organisationer tillader flere friheder, mens andre har flere indbyggede protokoller.
Når du laver pentest i AWS, skal du arbejde inden for de politikker, som AWS tillader dig, fordi de er ejere af infrastrukturen.
Det meste af det, du kan teste, er din konfiguration til AWS-platformen samt applikationskode i dit miljø.
Så ... du spekulerer sikkert på, hvilke tests der må udføres i AWS.
Leverandørdrevne tjenester
Enhver cloud-tjeneste, der leveres af en tredjepartstjenesteudbyder, er lukket for konfigurationen og implementeringen af cloudmiljøet, men infrastrukturen under tredjepartsleverandøren er sikker at teste.
Hvad må jeg teste i AWS?
Her er en liste over ting, som du har tilladelse til at teste i AWS:
- Forskellige typer programmeringssprog
- Applikationer, der hostes af den organisation, du tilhører
- Applikationsprogrammeringsgrænseflader (API'er)
- Operativsystemer og virtuelle maskiner
Hvad må jeg ikke prøve i AWS?
Her er en liste over nogle af de ting, der ikke kan testes på AWS:
- Saas-applikationer, der tilhører AWS
- Tredjeparts Saas-applikationer
- Fysisk hardware, infrastruktur eller andet, der tilhører AWS
- RDS
- Alt, der tilhører en anden leverandør
Hvordan skal jeg forberede mig inden jeg går i gang?
Her er en liste over trin, som du bør følge, før du går i gang:
- Definer projektets omfang, herunder AWS-miljøerne og dine målsystemer
- Fastlæg, hvilken type rapportering du vil inkludere i dine resultater
- Opret processer, som dit team kan følge, når de laver pentesting
- Hvis du arbejder med en klient, skal du sørge for at udarbejde en tidslinje for forskellige testfaser
- Få altid skriftlig godkendelse fra din klient eller overordnede, når du laver pentesting. Dette kan omfatte kontrakter, formularer, omfang og tidslinjer.