入门概念 | AWS渗透测试是什么?


  概念

AWS是全球领先的云平台。它提供弹性计算服务、云存储、数据库以及一系列数据分析和人工智能应用程序,以及部署和自动化服务。

在迁移到 AWS 之前,公司需要考虑合规义务、针对云资源或云上托管的敏感数据的网络攻击的风险以及如何解决这些风险。

发现云环境中安全漏洞的一种非常有效的方法是通过渗透测试。渗透测试人员可以发现 AWS 部署中的关键安全漏洞,并提供可操作的修复建议。

  注意

AWS是第三方数据中心,因此执行渗透测试的公司需要遵循特定说明并遵守AWS限制。

AWS 渗透所使用的方法和方法在很多方面与传统渗透测试不同。最重要的区别是被测资产的所有权。亚马逊公司拥有AWS运营的所有核心基础设施。因此,传统渗透测试中使用的许多测试和策略可能违反AWS服务条款。如果渗透测试程序与 AWS 策略冲突,则在 AWS 基础设施上被禁止,并且可能会触发 AWS 事件响应团队的参与。

AWS 客户对自己的 AWS 基础设施进行安全评估或渗透测试,不允许客户自己对 AWS 基础设施或 AWS 服务执行任何安全评估。

  允许的进行渗透测试的AWS服务列表

· Amazon EC2 实例、NAT 网关和 Elastic Load Balancer
· Amazon RDS
· Amazon CloudFront
· Amazon Aurora
· Amazon API Gateway
· AWS AppSync
· AWS Lambda 和 Lambda Edge 函数
· Amazon Lightsail 资源
· Amazon Elastic Beanstalk 环境
· Amazon Elastic Container Service
· AWS Fargate
· Amazon Elasticsearch
· Amazon FSx
· Amazon Transit Gateway
· S3 托管应用程序(严禁以 S3 存储桶为目标)

  禁止的活动

· 通过 Amazon Route 53 托管区域进行的 DNS 区域移动
· 通过 Route 53 进行的 DNS 劫持
· 通过 Route 53 进行的 DNS 域欺骗
· 拒绝服务(DoS)、分布式拒绝服务(DDoS)、模拟 DoS、模拟 DDoS
· 端口泛洪
· 协议泛洪
· 请求泛洪(登录请求泛洪、API 请求泛洪)