Pruebas de penetración de AWS
¿Qué son las pruebas de penetración de AWS?
Pruebas de penetración los métodos y las políticas difieren según la organización en la que se encuentre. Algunas organizaciones permiten más libertades, mientras que otras tienen más protocolos integrados.
Cuando estás haciendo pruebas de penetración en AWS, tienes que trabajar dentro de las políticas que AWS te permite porque ellos son los dueños de la infraestructura.
La mayor parte de lo que puede probar es su configuración en la plataforma de AWS, así como el código de la aplicación dentro de su entorno.
Entonces… probablemente se esté preguntando qué pruebas se pueden realizar en AWS.
Servicios operados por el usuario
Cualquier prueba de seguridad que involucre configuraciones en la nube creadas por el usuario es aceptable según la política de AWS. Incluso es posible ejecutar ciertos tipos de ataques en instancias de su creación.
Servicios operados por proveedores
Cualquier servicio en la nube proporcionado por un proveedor de servicios de terceros está cerrado a la configuración e implementación del entorno de la nube; sin embargo, la infraestructura debajo del proveedor de terceros es segura para probar.
¿Qué puedo probar en AWS?
Aquí hay una lista de cosas que puede probar en AWS:
- Diferentes tipos de lenguajes de programación.
- Aplicaciones alojadas por la organización a la que pertenece
- Interfaces de programación de aplicaciones (API)
- Los sistemas operativos y maquinas virtuales
¿Qué no puedo hacer un pentest en AWS?
Aquí hay una lista de algunas de las cosas que no se pueden probar en AWS:
- Aplicaciones Saas que pertenecen a AWS
- Aplicaciones SaaS de terceros
- Hardware físico, infraestructura o cualquier cosa que pertenezca a AWS
- RDS
- Cualquier cosa que pertenezca a otro proveedor
¿Cómo debo prepararme antes del Pentesting?
Aquí hay una lista de pasos que debe seguir antes de hacer un pentesting:
- Defina el alcance del proyecto, incluidos los entornos de AWS y sus sistemas de destino
- Establezca qué tipo de informe incluirá en sus hallazgos
- Crea procesos para que tu equipo los siga al hacer pentesting
- Si está trabajando con un cliente, asegúrese de preparar un cronograma para las diferentes fases de prueba
- Obtenga siempre la aprobación por escrito de su cliente o de sus superiores cuando realice un pentesting. Esto puede incluir contratos, formularios, alcances y plazos.
