DDoS 模拟测试政策
什么是 DDoS 模拟测试?
当攻击者使用来自多个来源的大量流量试图影响目标应用程序的可用性时,就视为发生分布式拒绝服务 (DDoS) 攻击。DDoS 模拟测试使用可控的 DDoS 攻击使应用程序所有者能够评估应用程序弹性和演练事件响应。只要遵守以下条款和条件,就可以在 AWS 上执行 DDoS 模拟测试。
条款和条件
- 所有测试都必须遵守 AWS 客户协议的条款,以及任何其他有关购买和使用 Amazon Web Services 的协议的条款。
- DDoS 模拟测试必须由已经得到 AWS 的事先批准、有权执行 DDoS 模拟测试的 AWS Partner Network (APN) 合作伙伴(即 AWS DDoS 测试合作伙伴)来开展。
- DDoS 模拟测试的目标必须在您拥有的已订阅 AWS Shield Advanced 的 AWS 账户中注册为受保护的资源,或者在您拥有的已订阅 AWS Shield Advanced 的账户中注册为针对 Amazon API Gateway 边缘优化过的 API 终端节点。
- DDoS 模拟测试的比特量不得超过每秒 20 GB。
- 在测试 Amazon CloudFront 分布时,DDoS 模拟测试的数据包量不得超过每秒 500 万个数据包;在测试任何其他类型的 AWS 资源时,不得超过每秒 50000 个数据包。
- DDoS 模拟测试的请求量不得超过每秒 50000 次请求。
- DDoS 模拟测试不得源自 AWS 资源,也不得使用 AWS 资源来尝试模拟扩大攻击。
- 您承担所有 DDoS 模拟测试的风险,并对测试供应商的行为负责。
- AWS 可以随时要求测试供应商终止模拟测试。
- 测试执行以及测试结果均属于 AWS 客户协议中定义的 AWS 机密信息。
确保安全性是 AWS 和客户的共同责任。DDoS 模拟测试成功与否,有赖于您的应用程序架构以及您在使用 AWS 服务时所采用的控制实施。在执行 DDoS 模拟测试之前,您的应用程序应该是架构完善的,具体标准请参见实现 DDoS 弹性的 AWS 最佳实践中提供的最佳实践。
AWS DDoS 测试合作伙伴
AWS DDoS 测试合作伙伴已获得授权,无需事先请求 AWS 批准即可代表 AWS 客户执行 DDoS 模拟测试。有关成为 AWS DDoS 测试合作伙伴的信息,请联系 aws-ddos-testing@amazon.com 咨询。以下 DDoS 测试供应商已获得遵循此政策执行 DDoS 模拟测试的授权:
例外请求
希望超出此政策中规定的技术限制执行 DDoS 模拟测试的 AWS DDoS 测试合作伙伴,以及未获批成为 AWS DDoS 测试合作伙伴的 DDoS 测试供应商,可以在预定测试日期的至少 14 天前提交表单,申请执行相应的 DDoS 模拟测试。如有任何疑问,请发送电子邮件至 aws-ddos-testing@amazon.com。
有问题? 联系 AWS 业务代表