تست نفوذ AWS
تست نفوذ AWS چیست؟
تست نفوذ روشها و خطمشیها بر اساس سازمانی که شما در آن هستید متفاوت است. برخی از سازمانها آزادیهای بیشتری را مجاز میدانند در حالی که برخی دیگر پروتکلهای داخلی بیشتری دارند.
وقتی در حال انجام تست قلم هستید AWS، شما باید در چارچوب سیاست هایی کار کنید که AWS به شما اجازه می دهد زیرا آنها مالک زیرساخت هستند.
بیشتر چیزی که می توانید آزمایش کنید، پیکربندی خود در پلتفرم AWS و همچنین کد برنامه در داخل محیط شما است.
بنابراین… احتمالاً از خود میپرسید که چه آزمایشهایی مجاز به انجام در AWS هستند.
خدمات کاربر
هرگونه آزمایش امنیتی که شامل پیکربندی های ابری است که توسط کاربر ساخته می شود، تحت خط مشی AWS قابل قبول است. حتی این امکان وجود دارد که انواع خاصی از حملات را بر روی نمونه های ساخته شده خود اجرا کنید.
خدمات ارائه شده توسط فروشنده
هر سرویس ابری که توسط یک ارائهدهنده خدمات شخص ثالث ارائه میشود، به پیکربندی و اجرای محیط ابری بسته میشود، با این حال، زیرساخت زیر فروشنده شخص ثالث برای آزمایش امن است.
چه چیزی را می توانم در AWS آزمایش کنم؟
در اینجا لیستی از مواردی است که شما مجاز به آزمایش آنها در AWS هستید:
- انواع مختلف زبان های برنامه نویسی
- برنامه هایی که توسط سازمانی که شما به آن تعلق دارید میزبانی می شوند
- رابط برنامه نویسی برنامه (API)
- سیستم های عامل و ماشین های مجازی
چه چیزی را در AWS من مجاز به Pentest نمی کنم؟
در اینجا لیستی از مواردی وجود دارد که نمی توان آنها را در AWS آزمایش کرد:
- برنامه های Saas که متعلق به AWS هستند
- برنامه های شخص ثالث Saas
- سخت افزار فیزیکی، زیرساخت یا هر چیزی که به AWS تعلق دارد
- امکان دریافت پیامهای متنی (RDS)
- هر چیزی که متعلق به فروشنده دیگری است
چگونه باید قبل از پنالتی آماده شوم؟
در اینجا لیستی از مراحلی است که باید قبل از پنتست دنبال کنید:
- محدوده پروژه از جمله محیط های AWS و سیستم های هدف خود را تعریف کنید
- نوع گزارشی را که در یافته های خود لحاظ می کنید مشخص کنید
- فرآیندهایی را برای تیم خود ایجاد کنید تا هنگام انجام پنتستینگ از آنها پیروی کند
- اگر با مشتری کار می کنید، حتماً یک جدول زمانی برای مراحل مختلف آزمایش آماده کنید
- هنگام انجام پنتست همیشه از مشتری یا مافوق خود تأییدیه کتبی دریافت کنید. این ممکن است شامل قراردادها، فرم ها، محدوده ها و جدول زمانی باشد.
