การทดสอบการเจาะระบบของ AWS
การทดสอบการเจาะระบบของ AWS คืออะไร
การทดสอบการเจาะ วิธีการและนโยบายจะแตกต่างกันไปตามองค์กรที่คุณอยู่ บางองค์กรให้อิสระมากกว่า ในขณะที่บางองค์กรมีโปรโตคอลในตัวมากกว่า
เมื่อคุณกำลังทำการทดสอบปากกาใน AWSคุณต้องทำงานภายใต้นโยบายที่ AWS อนุญาต เนื่องจากพวกเขาเป็นเจ้าของโครงสร้างพื้นฐาน
สิ่งที่คุณทดสอบได้ส่วนใหญ่คือการกำหนดค่าของคุณไปยังแพลตฟอร์ม AWS รวมถึงโค้ดแอปพลิเคชันภายในสภาพแวดล้อมของคุณ
ดังนั้น… คุณอาจสงสัยว่าการทดสอบใดบ้างที่อนุญาตให้ดำเนินการใน AWS
บริการที่ดำเนินการโดยผู้ใช้
การทดสอบความปลอดภัยใดๆ ที่เกี่ยวข้องกับการกำหนดค่าระบบคลาวด์ที่ผู้ใช้สร้างขึ้นเป็นที่ยอมรับภายใต้นโยบายของ AWS เป็นไปได้ที่จะเรียกใช้การโจมตีบางประเภทกับอินสแตนซ์ที่คุณสร้างขึ้น
บริการที่ดำเนินการโดยผู้ขาย
บริการคลาวด์ใด ๆ ที่ให้บริการโดยผู้ให้บริการบุคคลที่สามจะถูกปิดเพื่อกำหนดค่าและใช้งานสภาพแวดล้อมคลาวด์ อย่างไรก็ตาม โครงสร้างพื้นฐานภายใต้ผู้ให้บริการบุคคลที่สามนั้นปลอดภัยในการทดสอบ
ฉันได้รับอนุญาตให้ทดสอบอะไรใน AWS
นี่คือรายการสิ่งที่คุณได้รับอนุญาตให้ทดสอบใน AWS:
- ภาษาโปรแกรมประเภทต่างๆ
- แอปพลิเคชันที่โฮสต์โดยองค์กรที่คุณเป็นสมาชิก
- Application Programming Interfaces (API)
- ระบบปฏิบัติการ และเครื่องเสมือน
อะไรที่ฉันไม่ได้รับอนุญาตให้ทำการทดสอบใน AWS
นี่คือรายการของบางสิ่งที่ไม่สามารถทดสอบบน AWS:
- แอปพลิเคชัน Saas ที่เป็นของ AWS
- แอปพลิเคชัน Saas ของบุคคลที่สาม
- ฮาร์ดแวร์ทางกายภาพ โครงสร้างพื้นฐาน หรืออะไรก็ตามที่เป็นของ AWS
- RDS
- สิ่งใดที่เป็นของผู้ขายรายอื่น
ฉันควรเตรียมตัวอย่างไรก่อนสอบ
นี่คือรายการขั้นตอนที่คุณควรปฏิบัติตามก่อนทำการทดสอบ:
- กำหนดขอบเขตโครงการรวมถึงสภาพแวดล้อม AWS และระบบเป้าหมายของคุณ
- กำหนดประเภทการรายงานที่คุณจะรวมไว้ในสิ่งที่คุณค้นพบ
- สร้างกระบวนการให้ทีมของคุณปฏิบัติตามเมื่อทำการทดสอบ
- หากคุณกำลังทำงานกับลูกค้า ตรวจสอบให้แน่ใจว่าได้เตรียมลำดับเวลาสำหรับการทดสอบระยะต่างๆ
- ได้รับการอนุมัติเป็นลายลักษณ์อักษรจากลูกค้าหรือผู้บังคับบัญชาเสมอเมื่อทำการทดสอบ ซึ่งอาจรวมถึงสัญญา แบบฟอร์ม ขอบเขต และลำดับเวลา
