اختبار الاختراق

اختبار بيئة AWS مقارنةً بمعايير الأمان المحددة

سياسة دعم عملاء AWS لاختبار الاختراق

نرحب بعملاء AWS لإجراء تقييمات الأمان أو اختبارات الاختراق مقارنةً ببنية AWS التحتية دون الحصول على موافقة مسبقة للحصول على الـ 8 خدمات المدرجة في القسم التالي ضمن "الخدمات المسموح بها".

يُرجى التأكد من أن هذه الأنشطة تتماشى مع السياسة المبينة أدناه. ملحوظه: لا يُسمح للعملاء بإجراء أي تقييمات أمان لبنية AWS التحتية، أو خدمات AWS نفسها. إذا اكتشفت مشكلة أمنية في أي من خدمات AWS في سياق تقييم الأمان الخاص بك، يُرجى الاتصال بأمن AWS فورًا.

إذا تلقت AWS تقرير إساءة استخدام للأنشطة المتعلقة باختبار الأمان الخاص بك، فسوف نقوم بإرساله إليك. وعند قيامك بالرد، يُرجى تقديم السبب الأساسي للنشاط الذي تم الإبلاغ عنه، وتفاصيل ما قمت به لمنع تكرار المشكلة التي تم الإبلاغ عنها. اعرف المزيد هنا.

بائعو خدمات AWS هم المسؤولون عن نشاط اختبار الأمان الخاص بالعملاء.

سياسة خدمة العملاء لاختبار الاختراق

الخدمات المسموح بها

  • مثيلات Amazon EC2 وبوابات NAT وElastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • وظائف AWS Lambda وLambda Edge
  • موارد Amazon Lightsail
  • بيئات Amazon Elastic Beanstalk

الأنشطة المحظورة

  • التجول في منطقة نظام أسماء النطاقات عبر مناطق Amazon Route 53 المستضافة
  • الحرمان من الخدمة (DoS)، الحرمان من الخدمة الموزعة (DDoS)، الحرمان من الخدمة الموزعة بالمحاكاة
  • إغراق المنفذ بالطلبات
  • إغراق البروتوكول بالطلبات
  • الإغراق بالطلبات (الإغراق بطلبات تسجيل الدخول، الإغراق بطلبات API)

أحداث أخرى تتم محاكاتها

طلب تفويض لأحداث أخرى تتم محاكاتها

تلتزم AWS بأن تكون سريعة الاستجابة وبأن تبلغك باستمرار بتقدمنا. يُرجى مراسلتنا مباشرة عبر الإلكتروني على aws-security-simulated-event@amazon.com. تأكد من تضمين التواريخ والحسابات المعنية والأصول المعنية ومعلومات الاتصال، بما في ذلك رقم الهاتف والوصف التفصيلي للأحداث المخططة. ينبغي أن تتوقع أن تتلقى استجابة غير آلية على اتصالك الأول خلال يومي عمل مع تأكيد تلقي طلبك.

بعد أن نراجع المعلومات التي أرسلتها مع طلبك، سنمررها إلى الفرق الملائمة لتقييمها. بسبب طبيعة هذه الطلبات، تجري مراجعة كل إرسال يدويًا وقد يستغرق الرد مدة تصل إلى 7 أيام. قد يستغرق القرار النهائي مدة أطول على حسب ما إذا كانت المعلومات الإضافية مطلوبة لإكمال تقييمنا.

انتهاء الاختبار

ليس مطلوبًا منك إجراء آخر بعد أن تتلقى تفويضنا. يمكنك إجراء اختبارك حتى نهاية الفترة التي أوضحتها. 

اختبار تحمل الشبكة

يجب على العملاء الذين يرغبون في إجراء اختبار تحمل الشبكة مراجعة سياسة اختبار التحمل لدينا. يتم دعم العملاء الذين يرغبون في محاكاة DDoS عن طريق البائعين المعتمدين مسبقًا المذكورين أدناه. يُرجى إعادة توجيه طلبك وفقًا لذلك.

الشروط والأحكام

يجب أن تكون جميع اختبارات الأمان متوافقة مع شروط وأحكام اختبار الأمان الخاص بـ AWS.

اختبار الأمان:

  • سيقتصر على الخدمات والنطاق الترددي للشبكة والطلبات لكل دقيقة ونوع المثيل
  • ويخضع لشروط اتفاقية عميل Amazon Web Services بينك وبين AWS
  • ويلتزم بسياسة AWS المتعلقة باستخدام أدوات وخدمات تقييم الأمان المدرجة في القسم التالي

أي اكتشاف لنقاط الضعف أو غيرها من المشكلات كنتيجة مباشرة لاستخدام أدوات AWS أو خدماتها يجب إبلاغه إلى أمان AWS في غضون 24 ساعة من الانتهاء من الاختبار.

سياسة AWS بشأن استخدام أدوات وخدمات تقييم الأمان

تسمح سياسة AWS المتعلقة باستخدام أدوات وخدمات تقييم الأمان بمرونة كبيرة لإجراء تقييمات الأمان لأصول AWS الخاصة بك مع حماية عملاء AWS الآخرين وضمان جودة الخدمة عبر AWS.

وتدرك AWS أن هناك مجموعة متنوعة من الأدوات والخدمات العامة والخاصة والتجارية و/أو المفتوحة المصدر للاختيار من بينها لأغراض إجراء تقييم أمان لأصول AWS الخاصة بك. يشير مصطلح "تقييم الأمان" إلى جميع الأنشطة التي يتم القيام بها لأغراض تحديد فعالية أو وجود ضوابط الأمان بين أصول AWS الخاصة بك، على سبيل المثال، المسح بحثًا عن المنافذ والفحص/المسح بحثًا عن الثغرات الأمنية واختبار الاختراق والاستغلال ومسح تطبيقات الويب، فضلاً عن أي إقحام أو تزوير أو نشاط اختبار عشوائي، تم إجراؤه إما عن بعد ضد أصول AWS، أو بين/ضمن أصول AWS، أو محليًا داخل الأصول الظاهرية نفسها.

أنت لست محدودًا في اختيارك من الأدوات أو الخدمات لإجراء تقييم أمان لأصول AWS الخاصة بك. ومع ذلك، يحظر عليك استخدام أي أدوات أو خدمات بطريقة تؤدي إلى هجمات الحرمان من الخدمة (DoS) أو محاكاتها ضد أي من أصول AWS، الخاصة بك أو غير ذلك. تشمل الأنشطة المحظورة، ولا يمكن أن تقتصر على:

  • إغراق البروتوكول بالطلبات (على سبيل المثال، إغراق SYN بالطلبات، إغراق ICMP بالطلبات، إغراق UDP بالطلبات)
  • إغراق المورد بالطلبات (على سبيل المثال: إغراق HTTP بالطلبات، الإغراق بطلبات تسجيل الدخول، إغراق API بالطلبات)

أداة الأمان التي تقوم فقط بتنفيذ استعلام عن بعد لأصل AWS لتحديد اسم البرنامج وإصداره، مثل "الاستيلاء على الشعار" لغرض المقارنة بقائمة الإصدارات المعروفة بأنها عرضة لخطر الحرمان من الخدمة (DOS)، ليست انتهاكًا لهذه السياسة.

بالإضافة إلى ذلك، فإن أداة الأمان أو الخدمة التي تعطل فقط عملية قيد التشغيل على أصول AWS الخاصة بك، المؤقتة أو غير ذلك، حسب الضرورة للاستغلال البعيد أو المحلي كجزء من تقييم الأمان، ليست انتهاكًا لهذه السياسة. ومع ذلك، قد لا تشارك هذه الأداة في إغراق البروتوكول أو المورد بالطلبات، كما ذكر أعلاه.
أداة أو خدمة الأمان التي تقوم بإنشاء أو تحديد وجود أو إظهار شرط DoS بأي طريقة أخرى، فعلية أو صورية، ممنوعة صراحةً.

تتضمن بعض الأدوات أو الخدمات قدرات DoS الفعلية كما هو موضح، إما بصمت/بطبيعتها إذا استخدمت بشكل غير مناسب أو كاختبار/فحص أو ميزة صريحة للأداة أو الخدمة. أي أداة أو خدمة أمان يكون لديها مثل قدرة DoS هذه، يجب أن يكون لديها القدرة الصريحة على تعطيل أو إبطال أو غير ذلك جعل قدرة DoS هذه غير مؤذية. وإلا، فإن هذه الأداة أو الخدمة قد لا تستخدم لأي جانب من جوانب تقييم الأمان.

مسؤولية عميل AWS الوحيدة هي: (1) ضمان تكوين الأدوات والخدمات المستخدمة لإجراء تقييم أمان بشكل صحيح والعمل بنجاح بطريقة لا تؤدي إلى هجمات الحرمان من الخدمة (DoS) أو محاكاة لها، و(2) التحقق بشكل مستقل من أن الأداة أو الخدمة المستخدمة لا تؤدي إلى هجمات الحرمان من الخدمة (DoS)، أو محاكاة لها، قبل تقييم الأمان لأي من أصول AWS. وتشمل مسؤولية عميل AWS هذا ضمان إجراء الجهات الخارجية المتعاقدة تقييمات الأمان بطريقة لا تنتهك هذه السياسة.

وعلاوة على ذلك، أنت مسؤول عن أي أضرار تحدث لـ AWS أو عملاء AWS الآخرين التي تنتج عن اختبارك أو أنشطة تقييم الأمان.

اتصل بأحد ممثلي AWS لشؤون الأعمال التجارية
هل لديك استفسارات؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد استكشاف أدوار الأمان؟
التقديم اليوم »
هل ترغب في تحديثات أمان AWS؟
تابعنا على Twitter »