AWS penetrasjonstesting
Hva er AWS-penetrasjonstesting?
Penetrasjonstesting metoder og retningslinjer varierer basert på organisasjonen du er i. Noen organisasjoner tillater flere friheter mens andre har flere protokoller innebygd.
Når du gjør penntesting i AWS, må du jobbe innenfor retningslinjene som AWS tillater deg fordi de er eiere av infrastrukturen.
Det meste du kan teste er konfigurasjonen din til AWS-plattformen samt applikasjonskoden inne i miljøet ditt.
Så ... du lurer sikkert på hvilke tester som er tillatt å utføre i AWS.
Leverandøropererte tjenester
Enhver skytjeneste som leveres av en tredjeparts tjenesteleverandør er stengt for konfigurasjonen og implementeringen av skymiljøet, men infrastrukturen under tredjepartsleverandøren er trygg å teste.
Hva har jeg lov til å teste i AWS?
Her er en liste over ting du har lov til å teste i AWS:
- Ulike typer programmeringsspråk
- Apper som er vert for organisasjonen du tilhører
- Applikasjonsprogrammeringsgrensesnitt (APIer)
- Operativsystemer og virtuelle maskiner
Hva har jeg ikke lov til å prøve meg på i AWS?
Her er en liste over noen av tingene som ikke kan testes på AWS:
- Saas-applikasjoner som tilhører AWS
- Tredjeparts Saas-applikasjoner
- Fysisk maskinvare, infrastruktur eller annet som tilhører AWS
- RDS
- Alt som tilhører en annen leverandør
Hvordan bør jeg forberede meg før pentesting?
Her er en liste over trinn du bør følge før du tester:
- Definer prosjektomfanget inkludert AWS-miljøene og målsystemene dine
- Fastslå hvilken type rapportering du vil inkludere i funnene dine
- Lag prosesser som teamet ditt kan følge når de utfører pentesting
- Hvis du jobber med en klient, sørg for å utarbeide en tidslinje for ulike testfaser
- Få alltid skriftlig godkjenning fra din klient eller overordnede når du gjør pentesting. Dette kan inkludere kontrakter, skjemaer, omfang og tidslinjer.