渗透测试

根据定义的安全标准测试 AWS 环境

适用于渗透测试的 AWS 客户支持策略

欢迎 AWS 客户对自己的 AWS 基础设施执行安全评估或渗透测试,而无需事先批准 8 项服务(在下一节“允许的服务”中列出)。

请确保这些活动遵守下面规定的策略。注意:不允许客户自己对 AWS 基础设施或 AWS 服务执行任何安全评估。如果您在安全评估的过程中发现任何 AWS 服务中存在安全问题,请立即联系 AWS 安全团队

如果 AWS 收到与您的安全测试相关的活动的滥用报告,我们会将其转发给您。在回复时,请提供报告活动的根本原因,并详细说明您为防止报告的问题再次发生而采取的措施。在此处了解更多信息。

AWS 服务的经销商负责其客户的安全测试活动。

针对渗透测试的客户服务策略

允许的服务

  • Amazon EC2 实例、NAT 网关和 Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda 和 Lambda Edge 函数
  • Amazon Lightsail 资源
  • Amazon Elastic Beanstalk 环境

禁止的活动

  • 通过 Amazon Route 53 托管区域的 DNS 区域移动
  • 拒绝服务 (DoS)、分布式拒绝服务 (DDoS)、模拟 DoS、模拟 DDoS(它们需遵从 DDoS 模拟测试策略
  • 端口泛洪
  • 协议泛洪
  • 请求泛洪(登录请求泛洪、API 请求泛洪)

其他模拟事件

申请其他模拟事件的授权

AWS 会竭力尽快回应,并让您随时了解进度。请提交模拟事件表,直接联系我们。(对于在 AWS 中国(宁夏和北京)区域运营的客户,请使用此模拟事件表。)

确保包含日期、所涉及的账户、所涉及的资产和联系信息,包括电话号码和计划事件的详细描述。您将在 2 个工作日内收到针对您的初次联系的非自动回应,确认我们已收到您的请求。

测试结论

收到我们的授权后,您不需要采取任何后续行动。您可以在您指定的期限内开展测试。 

网络压力测试

希望执行网络压力测试的客户应查看我们的压力测试策略。 

DDoS 模拟测试

希望执行 DDoS 模拟测试的客户应查看我们的 DDoS 模拟测试策略

条款和条件

所有安全测试都必须符合 AWS 安全测试条款和条件。

安全测试:

  • 仅限于服务、网络带宽、每分钟请求数和实例类型
  • 受您与 AWS 之间达成的 Amazon Web Services 客户协议条款的约束
  • 将遵守 AWS 关于使用安全评估工具和服务的策略(如下一节所述)

如果发现由 AWS 工具或服务直接导致的漏洞或其他问题,必须在测试完成后的 24 小时内告知 AWS 安全性团队。

关于使用安全评估工具和服务的 AWS 策略

AWS 关于使用安全评估工具和服务的策略可以让您非常灵活地对 AWS 资产执行安全评估,同时保护其他 AWS 客户并确保 AWS 的服务质量。

AWS 了解有多种公共、私有、商业和/或开源工具和服务可供选择,用来对您的 AWS 资产执行安全评估。“安全评估”是指为确定 AWS 资产中安全控制的效能或存在而进行的所有活动,例如端口扫描、漏洞扫描/检查、渗透测试、利用、Web 应用程序扫描以及任何注入、伪造或模糊测试活动,可以远程对您的 AWS 资产、AWS 资产之间执行此类活动,也可以在虚拟资产内部本地执行。

您可以自由选择用来对 AWS 资产执行安全评估的工具或服务。但是,您不得利用任何工具或服务对任何 AWS 资产(您的资产或他人的资产)执行拒绝服务 (DoS) 攻击或模拟此类攻击。希望执行 DDoS 模拟测试的客户应查看我们的 DDoS 模拟测试策略

仅对您的 AWS 资产进行远程查询以确定软件名称和版本的安全工具不会违反本策略,例如“横幅抓取”,用于与已知易受 DoS 攻击的版本列表进行比较。

此外,临时或以其他方式仅导致 AWS 资产中运行的进程崩溃的安全工具或服务不会违反该策略,因为作为安全评估的一部分,这是远程或本地开发所必需的。但是,如上所述,此工具可能不会用于处理协议泛洪或资源请求泛洪。
明确禁止以任何其他方式(实际或模拟)创建 DoS 条件、确定其存在或演示 DoS 条件的安全工具或服务。

某些工具或服务包括所述的实际 DoS 功能,如果使用不当,则无论是以静默/固有方式,还是作为工具或服务的显式测试/检查或功能,都明确禁止。任何具有此类 DoS 功能的安全工具或服务都必须具有禁用、消除或以其他方式呈现无害性的显式能力,即 DoS 功能。否则,该工具或服务可能不会用于安全评估的任何方面。

AWS 客户的唯一职责是:(1) 确保用于执行安全评估的工具和服务已正确配置并成功运行,并且不会执行 DoS 攻击或模拟此类攻击,(2) 在对任何 AWS 资产执行安全评估之前,独立验证所使用的工具或服务不会执行 DoS 攻击或模拟此类攻击。上述 AWS 客户职责包括确保签约的第三方以不违反此策略的方式执行安全评估。

此外,您还应对您的测试或安全评估活动给 AWS 或其他 AWS 客户造成的任何损害负责。

联系 AWS 业务代表
有问题? 联系 AWS 业务代表
探讨安全角色?
立即申请 »
想了解 AWS 安全性动态?
在 Twitter 上关注我们 »