AWS testiranje penetracije
Šta je AWS testiranje penetracije?
Ispitivanje penetracije metode i politike se razlikuju u zavisnosti od organizacije u kojoj se nalazite. Neke organizacije dozvoljavaju više sloboda dok druge imaju više ugrađenih protokola.
Kada radite testiranje olovkom AWS, morate raditi u okviru politika koje vam AWS dozvoljava jer su oni vlasnici infrastrukture.
Većina onoga što možete testirati je vaša konfiguracija na AWS platformi, kao i kod aplikacije unutar vašeg okruženja.
Dakle… vjerovatno se pitate koji testovi se smiju izvoditi u AWS-u.
Usluge koje upravlja dobavljač
Svaka usluga u oblaku koju pruža dobavljač usluga treće strane zatvorena je za konfiguraciju i implementaciju cloud okruženja, međutim, infrastruktura ispod dobavljača treće strane je bezbedna za testiranje.
Šta mi je dozvoljeno da testiram u AWS-u?
Evo liste stvari koje vam je dozvoljeno da testirate u AWS-u:
- Različite vrste programskih jezika
- Aplikacije koje hostuje organizacija kojoj pripadate
- Sučelje aplikacijskog programiranja (API-ji)
- Operativni sistemi i virtuelne mašine
Šta mi nije dozvoljeno pentestirati u AWS-u?
Evo liste nekih stvari koje se ne mogu testirati na AWS-u:
- Saas aplikacije koje pripadaju AWS-u
- Saas aplikacije trećih strana
- Fizički hardver, infrastruktura ili bilo šta što pripada AWS-u
- RDS
- Sve što pripada drugom prodavcu
Kako se trebam pripremiti prije pentestiranja?
Evo liste koraka koje trebate slijediti prije pentestiranja:
- Definirajte opseg projekta uključujući AWS okruženja i vaše ciljne sisteme
- Odredite koju vrstu izvještavanja ćete uključiti u svoje nalaze
- Kreirajte procese koje će vaš tim pratiti prilikom pentestiranja
- Ako radite s klijentom, obavezno pripremite vremenski okvir za različite faze testiranja
- Uvijek dobijete pismeno odobrenje od vašeg klijenta ili nadređenih kada radite pentestiranje. Ovo može uključivati ugovore, obrasce, opsege i rokove.