渗透测试
适用于渗透测试的 AWS 客户支持策略
欢迎 AWS 客户对自己的 AWS 基础设施进行安全评估或渗透测试,而无需事先批准下一节“允许的服务”下列出的服务。 此外,AWS 允许客户在 AWS IP 空间或其他云提供商中托管他们的安全评估工具,用于本地、AWS 或第三方承包测试。包括命令和控制(C2)在内的所有安全测试都需要事先批准。
请确保这些活动遵守下面规定的策略。注意:不允许客户自己对 AWS 基础设施或 AWS 服务执行任何安全评估。如果您在安全评估中发现任何 AWS 服务中存在安全问题,请立即联系 AWS 安全团队。
如果 AWS 收到与您的安全测试相关的活动的滥用报告,我们会将其转发给您。回复时,请使用经过批准的语言想我们详细说明您的用例,包括我们可以与任何第三方记者分享的联系方式。单击此处了解更多信息。
AWS 服务的经销商负责其客户的安全测试活动。
针对渗透测试的客户服务策略
允许的服务
- Amazon EC2 实例、NAT 网关和 Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- AWS Lambda 和 Lambda Edge 函数
- Amazon Lightsail 资源
- Amazon Elastic Beanstalk 环境
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Amazon Transit Gateway
- S3 托管应用程序(严禁以 S3 存储桶为目标)
禁止的活动
- 通过 Amazon Route 53 托管区域进行的 DNS 区域移动
- 通过 Route 53 进行的 DNS 劫持
- 通过 Route 53 进行的 DNS 域欺骗
- 拒绝服务(DoS)、分布式拒绝服务(DDoS)、模拟 DoS、模拟 DDoS(它们需遵从 DDoS 模拟测试策略)
端口泛洪
- 协议泛洪
- 请求泛洪(登录请求泛洪、API 请求泛洪)
想要测试未经批准的服务的客户需要直接与 AWS Support 或您的客户代表合作。
其他模拟事件
红/蓝/紫团队测试
红/蓝/紫团队测试是对抗性安全模拟,旨在测试组织的安全意识和响应时间
寻求执行隐蔽的对抗性安全模拟和/或托管命令与控制(C2)的客户必须提交模拟事件表以供审核。
网络压力测试
压力测试是一种性能测试,它向特定的预期目标应用程序发送大量合法或测试流量,以确保高效的运行能力。作为测试的一部分,端点应用程序应执行其预期功能。任何尝试压垮目标的操作都被视为拒绝服务(DoS)。
希望执行网络压力测试的客户应查看我们的压力测试策略。
iPerf 测试
iPerf 是一种用于网络性能测量和调整的工具。它是一种跨平台工具,可以为任何网络生成标准化的性能测量结果。
寻求执行 iPerf 测试的客户必须提交模拟事件表以供审核。
DDoS 模拟测试
当攻击者使用来自多个来源的大量流量试图影响目标应用程序的可用性时,就视为发生分布式拒绝服务(DDoS)攻击。DDoS 模拟测试使用可控的 DDoS 攻击使应用程序所有者能够评估应用程序弹性和演练事件响应。
希望执行 DDoS 模拟测试的客户应查看我们的 DDoS 模拟测试策略。
模拟网络钓鱼
模拟网络钓鱼是对试图从用户那里获取敏感信息的社交工程攻击的模拟。其目的是识别用户并让他们了解有效电子邮件和网络钓鱼电子邮件之间的区别,从而提高组织安全性。
寻求执行模拟网络钓鱼活动的客户必须提交模拟事件表以供审核。
恶意软件测试
恶意软件测试是将恶意文件或程序置于应用程序或防病毒程序以提高安全功能的做法。
寻求执行恶意软件测试的客户必须提交模拟事件表以供审核。
申请其他模拟事件的授权
AWS 会竭力尽快回应,并让您随时了解进度。请提交模拟事件表,直接联系我们。(对于在 AWS 中国(宁夏和北京)区域运营的客户,请使用此模拟事件表。)
确保包含日期、所涉及的账户 ID、所涉及的资产和联系信息,包括电话号码和计划事件的详细描述。您将在 2 个工作日内收到针对您的初次联系的非自动回应,确认我们已收到您的请求。
所有模拟活动请求必须至少在开始日期前两(2)周提交给 AWS。
测试结论
收到我们的授权后,您不需要采取任何后续行动。您可以在您指定的期限内开展测试。
条款和条件
所有安全测试都必须符合 AWS 安全测试条款和条件。
安全测试:
- 仅限于服务、网络带宽、每分钟请求数和实例类型
- 受您与 AWS 之间达成的 Amazon Web Services 客户协议条款的约束
- 将遵守 AWS 关于使用安全评估工具和服务的策略(如下一节所述)
如果发现由 AWS 工具或服务直接导致的漏洞或其他问题,必须在测试完成后的 24 小时内告知 AWS 安全性团队。
关于使用安全评估工具和服务的 AWS 策略
AWS 关于使用安全评估工具和服务的策略可以让您非常灵活地对 AWS 资产执行安全评估,同时保护其他 AWS 客户并确保 AWS 的服务质量。
AWS 了解有多种公共、私有、商业和/或开源工具和服务可供选择,用来对您的 AWS 资产执行安全评估。“安全评估”是指为确定 AWS 资产中安全控制的效能或存在而进行的所有活动,例如端口扫描、漏洞扫描/检查、渗透测试、利用、Web 应用程序扫描以及任何注入、伪造或模糊测试活动,可以远程对您的 AWS 资产、AWS 资产之间执行此类活动,也可以在虚拟资产内部本地执行。
您可以自由选择用来对 AWS 资产执行安全评估的工具或服务。但是,您不得利用任何工具或服务对任何 AWS 资产(您的资产或他人的资产)执行拒绝服务 (DoS) 攻击或模拟此类攻击。希望执行 DDoS 模拟测试的客户应查看我们的 DDoS 模拟测试策略。
仅对您的 AWS 资产进行远程查询以确定软件名称和版本的安全工具不会违反本策略,例如“横幅抓取”,用于与已知易受 DoS 攻击的版本列表进行比较。
此外,临时或以其他方式仅导致 AWS 资产中运行的进程崩溃的安全工具或服务不会违反该策略,因为作为安全评估的一部分,这是远程或本地开发所必需的。但是,如上所述,此工具可能不会用于处理协议泛洪或资源请求泛洪。
明确禁止以任何其他方式(实际或模拟)创建 DoS 条件、确定其存在或演示 DoS 条件的安全工具或服务。
某些工具或服务包括所述的实际 DoS 功能,如果使用不当,则无论是以静默/固有方式,还是作为工具或服务的显式测试/检查或功能,都明确禁止。任何具有此类 DoS 功能的安全工具或服务都必须具有禁用、消除或以其他方式呈现无害性的显式能力,即 DoS 功能。否则,该工具或服务可能不会用于安全评估的任何方面。
AWS 客户的唯一职责是:(1) 确保用于执行安全评估的工具和服务已正确配置并成功运行,并且不会执行 DoS 攻击或模拟此类攻击,(2) 在对任何 AWS 资产执行安全评估之前,独立验证所使用的工具或服务不会执行 DoS 攻击或模拟此类攻击。上述 AWS 客户职责包括确保签约的第三方以不违反此策略的方式执行安全评估。
此外,您还应对您的测试或安全评估活动给 AWS 或其他 AWS 客户造成的任何损害负责。
