AWS Nüfuz Testi
AWS Penetration Testi nədir?
Nüfuz testi üsullar və siyasətlər yerləşdiyiniz təşkilata görə fərqlənir. Bəzi təşkilatlar daha çox azadlıqlara icazə verir, digərləri isə daha çox protokola malikdir.
Qələm testi edərkən AWS, siz AWS-in sizə icazə verdiyi siyasətlər çərçivəsində işləməlisiniz, çünki onlar infrastrukturun sahibləridir.
Sınaya biləcəyiniz şeylərin əksəriyyəti AWS platforması üçün konfiqurasiyanız və ətrafınızdakı tətbiq kodudur.
Beləliklə... yəqin ki, AWS-də hansı testlərin aparılmasına icazə verildiyi ilə maraqlanırsınız.
Satıcı tərəfindən idarə olunan xidmətlər
Üçüncü tərəf xidmət provayderi tərəfindən təmin edilən istənilən bulud xidməti bulud mühitinin konfiqurasiyası və tətbiqi üçün bağlıdır, lakin üçüncü tərəf satıcısının altında olan infrastrukturun sınaqdan keçirilməsi təhlükəsizdir.
AWS-də nəyi sınamağa icazə verilir?
Budur AWS-də sınamağa icazə verilən şeylərin siyahısı:
- Müxtəlif növ proqramlaşdırma dilləri
- Mənsub olduğunuz təşkilat tərəfindən yerləşdirilən proqramlar
- Tətbiq Proqramlaşdırma Arayüzləri (API)
- Əməliyyat sistemləri və virtual maşınlar
AWS-də nəyi Pentest etməyə icazə verilmir?
AWS-də sınaqdan keçirilə bilməyən bəzi şeylərin siyahısı:
- AWS-ə aid olan Saas proqramları
- Üçüncü tərəf Saas proqramları
- Fiziki avadanlıq, infrastruktur və ya AWS-ə aid olan hər hansı bir şey
- RDS
- Başqa bir satıcıya aid olan hər şey
Pentestdən əvvəl necə hazırlaşmalıyam?
Pentestdən əvvəl əməl etməli olduğunuz addımların siyahısı:
- AWS mühitləri və hədəf sistemləriniz daxil olmaqla layihənin əhatə dairəsini müəyyənləşdirin
- Nəticələrinizə hansı növ hesabatı daxil edəcəyinizi müəyyənləşdirin
- Pentesting edərkən komandanızın izləməsi üçün proseslər yaradın
- Müştəri ilə işləyirsinizsə, testin müxtəlif mərhələləri üçün vaxt qrafiki hazırladığınızdan əmin olun
- Pentesting edərkən həmişə müştərinizdən və ya rəhbərlərdən yazılı razılıq alın. Buraya müqavilələr, formalar, əhatə dairələri və vaxt qrafikləri daxil ola bilər.