Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een AWS pentest

Icon van een AWS pentest

Amazon Web Services (AWS) is het meestgebruikte cloudplatform ter wereld en draagt de infrastructuur van miljoenen applicaties. Van startups tot grote ondernemingen: organisaties gebruiken AWS voor compute (EC2), opslag (S3), databases (RDS), serverless computing (Lambda) en honderden andere diensten. Maar met al die diensten ontstaat ook een groot aanvalsoppervlak. Eén verkeerd ingestelde S3 bucket policy kan al miljoenen records blootleggen, te ruime IAM-rechten kunnen privilege escalation mogelijk maken, en een publieke Security Group zet uw EC2-instances open voor aanvallen vanaf het internet.

AWS is een complex platform, met IAM-policies, resource-based permissions, Security Groups, NACL’s, VPC-configuraties en per dienst weer eigen instellingen. Daardoor is het lastig om handmatig overal de beveiligingsregels goed te houden.

Een AWS pentest (ook wel AWS pen-test, AWS penetratietest, cloud pentest of AWS security review genoemd) test de beveiliging van uw hele Amazon Web Services-omgeving. Onze ethische hackers onderzoeken de IAM-configuratie, de beveiliging van S3 buckets, EC2-instances, Lambda-functies, containers en alle andere AWS-resources. Zo brengen we misconfiguraties en kwetsbaarheden in kaart voordat een aanvaller ze vindt.

Waarom en wanneer is een AWS pentest belangrijk?

Voor veel organisaties draait de hele infrastructuur op AWS. Krijgt een aanvaller een AWS-account in handen, dan kan dat leiden tot het lekken van data, ransomware op EC2-instances, cryptomining via gekaapte rekenkracht en onverwachte AWS-kosten. De meeste beveiligingsincidenten in de cloud komen door misconfiguraties, niet door kwetsbaarheden in het AWS-platform zelf.

Een AWS pentest is verstandig in de volgende situaties:

  • Bij een migratie naar AWS, om de beveiliging te controleren voordat u productie-workloads overzet
  • Bij compliance-eisen, bijvoorbeeld om te voldoen aan PCI DSS, ISO 27001, SOC 2 of HIPAA
  • Na een infrastructure as code-uitrol, om Terraform- of CloudFormation-templates op problemen te controleren
  • Als jaarlijkse controle van de weerbaarheid van uw AWS-omgeving
  • Na een beveiligingsincident, om te achterhalen hoe een aanvaller toegang kreeg tot uw AWS-resources

Het is verstandig om AWS regelmatig te laten testen. Er komen voortdurend nieuwe diensten en functies bij, elk met een eigen beveiligingsconfiguratie.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • AWS expertise - Specialistische kennis van IAM-policies, S3-bucket configuraties, Security Groups, Lambda-functies en cross-service privilege-escalatiepaden
  • Direct contact - Geen accountmanagers, spreek direct met pentesters die uw test uitvoeren
  • Flexibiliteit - AWS pentests en penetratietests vaak binnen 2-3 weken te plannen

Meer over onze aanpak en expertise op onze over ons pagina.

Plan uw AWS pentest

Wilt u weten hoe weerbaar uw AWS-omgeving is? Neem dan vrijblijvend contact met ons op voor een gesprek met een van onze hackers. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag over uw organisatie en de scope van uw AWS-omgeving.

Elke AWS-omgeving is anders. Daarom stellen we elk voorstel op maat op. Een pentest kan binnen 3 weken starten. De uitvoering duurt, afhankelijk van het type pentest en de complexiteit, tussen de 3 dagen en 3 weken.

Klaar om uw AWS-omgeving te laten testen?

Wij testen IAM-rollen, S3-permissies, EC2-instances en serverless-componenten op misconfiguraties die in de praktijk leiden tot privilege escalation. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over AWS penetratietests

Welke tools worden er gebruikt bij een AWS pentest?

Een AWS pentest draait om kennis van IAM-policies, resource-permissies en privilege-escalatiepaden tussen services, niet om geautomatiseerde scanners. Wij werken voornamelijk met de AWS CLI en handmatige verificatie van de configuratie. Open-source IAM-enumeratie-frameworks gebruiken wij alleen als aanvulling waar dat tijd bespaart.

Wat kost een AWS pentest?

De prijs hangt af van de scope: het aantal AWS-accounts, het aantal regions en de services die in scope vallen. Een cloud pentest begint rond €3.600 voor een afgebakende omgeving en loopt op naarmate de architectuur complexer is. Na een vrijblijvend intakegesprek stellen wij een voorstel op maat op.

Moet ik AWS toestemming vragen voor een pentest?

Sinds 2019 staat AWS pentests op de meeste eigen services toe zonder vooraf toestemming te vragen, zolang u zich aan de AWS Customer Support Policy for Penetration Testing houdt. Voor brute-force-tests, denial-of-service-simulaties en tests op Amazon Route 53-zones is vooraf wél approval nodig bij AWS. Wij stemmen dit met u af voor de test begint.

Welke AWS-services dekken jullie in een pentest?

In scope zitten meestal IAM (rollen, policies, gebruikers), S3 (bucket policies, ACL’s, publieke blootstelling), EC2 (Security Groups, instance metadata, AMI’s), Lambda (execution roles, source code), RDS (netwerktoegang, encryptie), VPC-configuratie (NACL’s, peering) en CloudTrail-logging. Specifieke services zoals API Gateway, ECS, EKS of SageMaker nemen wij mee als ze in uw architectuur voorkomen. De exacte scope leggen wij tijdens de intake vast.

Verstoort een AWS pentest mijn productie-omgeving?

Nee. Een AWS pentest is overwegend read-only: wij brengen configuratie en permissies in kaart via de AWS CLI en API’s zonder actief services aan te vallen. Acties die productie zouden kunnen raken (zoals het uitvoeren van een Lambda-functie met andere parameters of het tijdelijk wijzigen van een policy) doen wij alleen na expliciete afstemming met uw beheerders, en bij voorkeur in een staging- of test-account.