AWS penetrasie toets
Wat is AWS-penetrasietoetsing?
Penetrasietoetsing metodes en beleide verskil op grond van die organisasie waarin jy is. Sommige organisasies laat meer vryhede toe terwyl ander meer protokolle ingebou het.
Wanneer jy pen toets in AWS, jy moet werk binne die beleide wat AWS jou toelaat, want hulle is die eienaars van die infrastruktuur.
Die meeste van wat u kan toets, is u konfigurasie na die AWS-platform sowel as toepassingskode binne u omgewing.
So ... jy wonder waarskynlik watter toetse toegelaat word om in AWS uitgevoer te word.
Dienste wat deur verskaffers bedryf word
Enige wolkdiens wat deur 'n derdeparty-diensverskaffer gelewer word, is afgesluit vir die konfigurasie en implementering van die wolkomgewing, maar die infrastruktuur onder die derdeparty-verskaffer is veilig om te toets.
Wat mag ek in AWS toets?
Hier is 'n lys van dinge wat jy in AWS mag toets:
- Verskillende tipes programmeertale
- Toepassings wat aangebied word deur die organisasie waaraan jy behoort
- Toepassingsprogrammeringskoppelvlakke (API's)
- Bedryfstelsels en virtuele masjiene
Wat mag ek nie in AWS pentest nie?
Hier is 'n lys van sommige van die dinge wat nie op AWS getoets kan word nie:
- Saas-toepassings wat aan AWS behoort
- Derdeparty Saas-toepassings
- Fisiese hardeware, infrastruktuur of enigiets wat aan AWS behoort
- RDS
- Enigiets wat aan 'n ander verkoper behoort
Hoe moet ek voorberei voordat ek pentesteer?
Hier is 'n lys van stappe wat jy moet volg voordat jy pentesting:
- Definieer die projekomvang insluitend die AWS-omgewings en jou teikenstelsels
- Bepaal watter tipe verslagdoening jy by jou bevindinge sal insluit
- Skep prosesse vir jou span om te volg wanneer jy pentesting doen
- As jy met 'n kliënt werk, maak seker dat jy 'n tydlyn vir verskillende fases van toetsing voorberei
- Kry altyd skriftelike goedkeuring van jou kliënt of meerderes wanneer jy pentesting doen. Dit kan kontrakte, vorms, bestekke en tydlyne insluit.