Тэст на пранікненне ў AWS
Што такое тэст на пранікненне ў AWS?
Пранікненне метады і палітыка адрозніваюцца ў залежнасці ад арганізацыі, у якой вы знаходзіцеся. Некаторыя арганізацыі дазваляюць больш свабоды, а іншыя маюць больш убудаваных пратаколаў.
Калі вы робіце тэставанне пяра ў AWS, вы павінны працаваць у рамках палітык, якія вам дазваляе AWS, таму што яны з'яўляюцца ўладальнікамі інфраструктуры.
Большасць з таго, што вы можаце праверыць, - гэта ваша канфігурацыя платформы AWS, а таксама код прыкладання ў вашым асяроддзі.
Такім чынам... вам напэўна цікава, якія тэсты дазволена праводзіць у AWS.
Паслугі, якія кіруюцца пастаўшчыкамі
Любы воблачны сэрвіс, які прадастаўляецца староннім пастаўшчыком паслуг, закрыты для канфігурацыі і рэалізацыі воблачнага асяроддзя, аднак інфраструктуру старонняга пастаўшчыка бяспечна тэставаць.
Што мне дазволена тэставаць у AWS?
Вось спіс рэчаў, якія вам дазволена тэставаць у AWS:
- Розныя тыпы моў праграмавання
- Прыкладання, размешчаныя ў арганізацыі, да якой вы належыце
- Інтэрфейсы прыкладных праграм (API)
- аперацыйныя сістэмы і віртуальныя машыны
Што мне забаронена праводзіць у AWS?
Вось спіс некаторых рэчаў, якія нельга праверыць на AWS:
- Прыкладанні Saas, якія належаць AWS
- Прыкладанні Saas іншых вытворцаў
- Фізічнае абсталяванне, інфраструктура або ўсё, што належыць AWS
- RDS
- Усё, што належыць іншаму прадаўцу
Як я павінен падрыхтавацца да пентэсту?
Вось спіс крокаў, якія вы павінны выканаць перад пентэставаннем:
- Вызначце аб'ём праекта, уключаючы асяроддзя AWS і мэтавыя сістэмы
- Вызначце, які тып справаздачы вы будзеце ўключаць у свае высновы
- Стварыце працэсы, якіх ваша каманда будзе прытрымлівацца пры выкананні пентэставання
- Калі вы працуеце з кліентам, не забудзьцеся падрыхтаваць графік для розных этапаў тэсціравання
- Заўсёды атрымлівайце пісьмовы дазвол ад вашага кліента або начальства пры выкананні пентэстінгу. Гэта можа ўключаць кантракты, формы, аб'ёмы і тэрміны.