AWS testiranje penetracije
Što je AWS Penetration Testing?
Ispitivanje penetracije metode i pravila razlikuju se ovisno o organizaciji u kojoj se nalazite. Neke organizacije dopuštaju više sloboda dok druge imaju više ugrađenih protokola.
Kada testirate olovku u AWS, morate raditi unutar politika koje vam AWS dopušta jer su oni vlasnici infrastrukture.
Većina onoga što možete testirati je vaša konfiguracija na AWS platformi, kao i kod aplikacije unutar vašeg okruženja.
Dakle… vjerojatno se pitate koji su testovi dopušteni za izvođenje u AWS-u.
Usluge kojima upravlja dobavljač
Svaka usluga u oblaku koju pruža pružatelj usluga treće strane zatvorena je za konfiguraciju i implementaciju okruženja u oblaku, međutim, infrastruktura ispod dobavljača treće strane sigurna je za testiranje.
Što smijem testirati u AWS-u?
Evo popisa stvari koje smijete testirati u AWS-u:
- Različite vrste programskih jezika
- Aplikacije koje hostira organizacija kojoj pripadate
- Sučelja aplikacijskog programiranja (API-ji)
- Operacijski sustavi i virtualni strojevi
Što mi nije dopušteno pentestirati u AWS-u?
Evo popisa nekih stvari koje se ne mogu testirati na AWS-u:
- Saas aplikacije koje pripadaju AWS-u
- Saas aplikacije trećih strana
- Fizički hardver, infrastruktura ili bilo što što pripada AWS-u
- RDS
- Sve što pripada drugom dobavljaču
Kako se trebam pripremiti prije pentestiranja?
Evo popisa koraka koje trebate slijediti prije pentestiranja:
- Definirajte opseg projekta uključujući AWS okruženja i vaše ciljne sustave
- Odredite kakvu ćete vrstu izvješća uključiti u svoje nalaze
- Stvorite procese koje će vaš tim slijediti prilikom pentestiranja
- Ako radite s klijentom, svakako pripremite vremenski raspored za različite faze testiranja
- Uvijek dobijete pismeno odobrenje od svog klijenta ili nadređenih kada provodite pentesting. To može uključivati ugovore, obrasce, opsege i vremenske rokove.