AWS侵入テスト
ユーザーが運営するサービス
ユーザーによって構築されたクラウド構成を含むセキュリティ テストは、AWS ポリシーの下で許容されます。 作成したインスタンスに対して特定の種類の攻撃を実行することさえ可能です。
ベンダー運営サービス
サード パーティのサービス プロバイダーによって提供されるクラウド サービスは、クラウド環境の構成と実装に対して閉じられていますが、サード パーティ ベンダーの下にあるインフラストラクチャは安全にテストできます。
AWS では何をテストできますか?
AWS でテストできる項目のリストは次のとおりです。
- さまざまな種類のプログラミング言語
- 所属する組織がホストするアプリケーション
- アプリケーションプログラミングインターフェイス(API)
- オペレーティングシステム および仮想マシン
AWS で侵入テストを行うことが許可されていないものは何ですか?
以下は、AWS でテストできないもののリストです。
- AWS に属する SaaS アプリケーション
- サードパーティの SaaS アプリケーション
- 物理的なハードウェア、インフラストラクチャ、または AWS に属するあらゆるもの
- RDS
- 別のベンダーに属するもの
ペンテストの前にどのように準備すればよいですか?
ペンテストの前に実行する必要がある手順のリストを次に示します。
- AWS 環境とターゲット システムを含むプロジェクト スコープを定義する
- 調査結果に含めるレポートの種類を確立する
- 侵入テストを行うときにチームが従うプロセスを作成する
- クライアントと作業している場合は、テストのさまざまなフェーズのタイムラインを準備してください。
- ペンテストを行うときは、必ずクライアントまたは上司から書面による承認を得てください。 これには、契約、フォーム、スコープ、タイムラインが含まれる場合があります。
