Las pruebas de penetración en la nube o “pentesting” se refieren normalmente a las pruebas de un entorno alojado en la nube, como Amazon Web Services (AWS), Google Cloud Platform (GCP) o Microsoft Azure.
Por lo general, el proveedor de pruebas de penetración no está probando directamente a los proveedores de la nube, sino más bien su despliegue dentro del entorno. Por ejemplo, digamos que está alojando un nuevo sitio web en AWS, la empresa de pentest ejecutaría una prueba de penetración de aplicaciones web contra su sitio web y no contra la plataforma subyacente de AWS. Las pruebas de penetración directamente contra la plataforma en la nube, en lugar de su implementación, a menudo no están permitidas por el proveedor de la nube.
¿Qué se entiende por seguridad en la nube?
La seguridad en la nube normalmente significa la seguridad de su entorno dentro del entorno de nube que está utilizando. El proveedor de la nube, como Amazon Web Services (AWS), Google Cloud Platform (GCP) o Microsoft Azure, le proporcionará el entorno en el que desplegar. Ellos serán responsables de la seguridad en la nube de todo hasta el punto de su despliegue, por ejemplo, la arquitectura y el entorno de la nube subyacente. Por lo general, usted será responsable de la seguridad en la nube de todo lo que despliegue y configure en el entorno de la nube.
Lista de comprobación de las pruebas de penetración en la nube
Al llevar a cabo una prueba de penetración en la nube o pentest hay algunos aspectos básicos que debe asegurarse de que forman parte de cualquier lista de comprobación que tenga.
- Asegúrese de que el proveedor de pentest tiene experiencia con un entorno de pruebas en la nube.
- Asegúrese de que la empresa de pentest conoce los matices de las pruebas en entornos de nube y los retos de seguridad asociados a la nube.
- Asegúrese de que los consultores de pentest tienen las acreditaciones adecuadas. Esto puede incluir certificaciones de CREST, Offensive Security y/o TigerScheme.