בדיקת חדירה של AWS
מהי בדיקת חדירה של AWS?
בדיקת חדירה השיטות והמדיניות משתנות בהתאם לארגון שבו אתה נמצא. ארגונים מסוימים מאפשרים יותר חירויות בעוד שאחרים כוללים יותר פרוטוקולים מובנים.
כשאתה עושה בדיקת עט ב AWS, עליך לעבוד במסגרת המדיניות ש-AWS מאפשרת לך מכיוון שהם הבעלים של התשתית.
רוב מה שאתה יכול לבדוק הוא התצורה שלך לפלטפורמת AWS כמו גם קוד יישום בתוך הסביבה שלך.
אז... אתם בטח תוהים אילו בדיקות מותר לבצע ב-AWS.
שירותים המופעלים על ידי משתמשים
כל בדיקת אבטחה הכוללת תצורות ענן שנבנות על ידי המשתמש מקובלת על פי מדיניות AWS. זה אפילו אפשרי להפעיל סוגים מסוימים של התקפות על מופעים של היצירה שלך.
שירותים המופעלים על ידי ספקים
כל שירות ענן שמסופק על ידי ספק שירות צד שלישי נסגר בפני התצורה והיישום של סביבת הענן, עם זאת, התשתית שמתחת לספק הצד השלישי בטוחה לבדיקה.
מה מותר לי לבדוק ב-AWS?
הנה רשימה של דברים שמותר לך לבדוק ב-AWS:
- סוגים שונים של שפות תכנות
- אפליקציות שמתארחות בארגון שאליו אתה שייך
- ממשקי תכנות יישומים (API)
- מערכות הפעלה ומכונות וירטואליות
מה אסור לי להתעמק ב-AWS?
הנה רשימה של כמה מהדברים שלא ניתן לבדוק ב-AWS:
- אפליקציות Saas השייכות ל-AWS
- אפליקציות Saas של צד שלישי
- חומרה פיזית, תשתית או כל דבר ששייך ל-AWS
- RDS
- כל דבר ששייך לספק אחר
כיצד עלי להתכונן לפני החגיגה?
להלן רשימה של שלבים שעליך לבצע לפני הבדיקה:
- הגדר את היקף הפרויקט כולל סביבות AWS ומערכות היעד שלך
- קבע איזה סוג דיווח תכלול בממצאים שלך
- צור תהליכים שהצוות שלך יוכל לעקוב אחריהם בעת ביצוע בדיקות פנייה
- אם אתה עובד עם לקוח, הקפד להכין ציר זמן לשלבים שונים של בדיקות
- קבל תמיד אישור בכתב מהלקוח או הממונים עליך בעת ביצוע בדיקה. זה עשוי לכלול חוזים, טפסים, היקפים ולוחות זמנים.
