AWS penetrationstestning
Vad är AWS Penetration Testing?
Penetrationstest metoder och policyer skiljer sig beroende på vilken organisation du är i. Vissa organisationer tillåter större friheter medan andra har fler inbyggda protokoll.
När du testar pennan AWS, måste du arbeta inom de policyer som AWS tillåter dig eftersom de är ägare till infrastrukturen.
Det mesta du kan testa är din konfiguration till AWS-plattformen samt applikationskod i din miljö.
Så... du undrar förmodligen vilka tester som är tillåtna att utföra i AWS.
Leverantörsstyrda tjänster
Alla molntjänster som tillhandahålls av en tredje parts tjänsteleverantör är avstängda för konfigurationen och implementeringen av molnmiljön, men infrastrukturen under tredjepartsleverantören är säker att testa.
Vad får jag testa i AWS?
Här är en lista över saker som du får testa i AWS:
- Olika typer av programmeringsspråk
- Applikationer som är värd för den organisation som du tillhör
- Applikationsprogrammeringsgränssnitt (API)
- Operativsystem och virtuella maskiner
Vad får jag inte tävla i AWS?
Här är en lista över några av de saker som inte kan testas på AWS:
- Saas-applikationer som tillhör AWS
- Tredjeparts Saas-applikationer
- Fysisk hårdvara, infrastruktur eller något som tillhör AWS
- RDS
- Allt som tillhör en annan leverantör
Hur ska jag förbereda mig innan jag testar?
Här är en lista med steg som du bör följa innan du testar:
- Definiera projektets omfattning inklusive AWS-miljöerna och dina målsystem
- Bestäm vilken typ av rapportering du kommer att inkludera i dina resultat
- Skapa processer för ditt team att följa när du gör pentesting
- Om du arbetar med en kund, se till att förbereda en tidslinje för olika testfaser
- Få alltid skriftligt godkännande från din klient eller överordnade när du gör pentesting. Detta kan inkludera kontrakt, formulär, omfattningar och tidslinjer.