AWS-penetratietesten
Wat is AWS-penetratietesten?
Penetratietests methoden en beleid verschillen op basis van de organisatie waarin u zich bevindt. Sommige organisaties bieden meer vrijheden, terwijl andere meer ingebouwde protocollen hebben.
Wanneer u pentesten uitvoert in AWS, moet u werken binnen het beleid dat AWS u toestaat, omdat zij de eigenaren van de infrastructuur zijn.
Het meeste wat u kunt testen, is uw configuratie voor het AWS-platform en de toepassingscode in uw omgeving.
Dus… je vraagt je waarschijnlijk af welke tests er in AWS mogen worden uitgevoerd.
Door leveranciers beheerde diensten
Elke cloudservice die wordt geleverd door een externe serviceprovider is afgesloten voor de configuratie en implementatie van de cloudomgeving, maar de infrastructuur onder de externe leverancier kan veilig worden getest.
Wat mag ik testen in AWS?
Hier is een lijst met dingen die u in AWS mag testen:
- Verschillende soorten programmeertalen
- Applicaties die worden gehost door de organisatie waartoe u behoort
- Application Programming Interfaces (API's)
- Besturingssystemen en virtuele machines
Wat mag ik niet pentesten in AWS?
Hier is een lijst met enkele dingen die niet kunnen worden getest op AWS:
- Saas-applicaties die bij AWS horen
- Saas-applicaties van derden
- Fysieke hardware, infrastructuur of iets dat bij AWS hoort
- RDS
- Alles van een andere leverancier
Hoe moet ik me voorbereiden voordat ik pentest?
Hier is een lijst met stappen die u moet volgen voordat u gaat pentesten:
- Definieer de projectomvang inclusief de AWS-omgevingen en uw doelsystemen
- Stel vast welk type rapportage u in uw bevindingen zult opnemen
- Creëer processen die uw team kan volgen bij pentesten
- Als u met een klant werkt, zorg er dan voor dat u een tijdlijn voorbereidt voor verschillende testfasen
- Vraag altijd schriftelijke toestemming van uw klant of leidinggevenden wanneer u pentesten uitvoert. Dit kunnen contracten, formulieren, scopes en tijdlijnen zijn.