Limitaciones en un pentest dentro de AWS

Las limitaciones y posibilidades de realizar un pentest dentro de AWS se definen claramente bajo las políticas de AWS. Aunque AWS permite a los usuarios llevar a cabo pruebas de penetración en una gama de sus servicios gestionados por los propios usuarios, existen restricciones importantes que se deben tener en cuenta para evitar violaciones de la política de AWS o impactos involuntarios en los recursos compartidos.

Pruebas de Penetración Permitidas en AWS

AWS autoriza las pruebas de seguridad en varios servicios operados directamente por el usuario, sin necesidad de un permiso previo de AWS para ciertos servicios desde el 2 de junio de 2022. Esto incluye:

• APIs: Pruebas dirigidas a las interfaces de programación de aplicaciones personalizadas o configuradas por el usuario.

• Aplicaciones Web: Evaluaciones de seguridad en aplicaciones web desplegadas en la infraestructura de AWS.

• Máquinas Virtuales EC2: Pentests en instancias EC2 que el usuario haya desplegado, enfocándose en sus configuraciones y el software corriendo dentro de ellas.

• Funciones Lambda: Pruebas dirigidas a las funciones serverless desplegadas por el usuario, examinando su implementación y ejecución de lógica.

• Configuraciones de Buckets S3: Evaluación de la seguridad en la configuración de los buckets S3, incluyendo permisos y políticas de acceso.

Es fundamental asegurarse de que estas pruebas no infrinjan las políticas de AWS y no afecten los servicios compartidos o la infraestructura subyacente.

Limitaciones en las Pruebas de Penetración en AWS

Existen claras restricciones en lo que respecta a los componentes de la infraestructura de AWS que no pueden ser objeto de pruebas de penetración, tales como:

• Servicios y Servidores Gestionados por AWS: Los componentes que son parte del modelo SaaS o cualquier servicio gestionado por AWS donde el usuario no tiene control sobre el entorno operativo.

• Hardware Físico e Infraestructura: Cualquier elemento de la infraestructura física subyacente de AWS, incluyendo servidores, redes o dispositivos de almacenamiento que AWS gestiona directamente.

• Recursos EC2 de Otros Usuarios: Instancias EC2 o recursos pertenecientes a otros clientes de AWS no deben ser objeto de pruebas, respetando la privacidad y seguridad de terceros.

Te recomendamos la siguiente lectura: