立即生效,欢迎 AWS 客户对自己的 AWS 基础设施执行安全评估或渗透测试,而无需事先批准 8 项服务。
请确保这些活动遵守下面规定的策略。注意:不允许客户自己对 AWS 基础设施或 AWS 服务执行任何安全评估。如果您在安全评估的过程中发现任何 AWS 服务中存在安全问题,请立即联系 AWS 安全团队。
私密预览版和 NDA – 我们目前正在执行预览计划,以便对以下服务进行安全评估。在进行此类评估之前,请联系 pen-test-nda@amazon.com 填写 NDA:
- Amazon CloudFront
允许的服务 — 如果您拥有的 AWS 资源使用了下列服务,您可以对这些资源进行安全评估。我们会不断更新此列表;单击此处给我们留言反馈或请求添加其他服务:
- Amazon EC2 实例、NAT 网关和 Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS Lambda 和 Lambda Edge 函数
- Amazon Lightsail 资源
- Amazon Elastic Beanstalk 环境
禁止的活动 — 目前禁止以下活动:
- 通过 Amazon Route 53 托管区域的 DNS 区域移动
- 拒绝服务 (DoS)、分布式拒绝服务 (DDoS)、模拟 DoS、模拟 DDoS
- 端口泛洪
- 协议泛洪
- 请求泛洪(登录请求泛洪、API 请求泛洪)
滥用报告 — 如果 AWS 收到与您的安全测试相关的活动的滥用报告,我们会将其转发给您。您必须在收到通知后的 24 小时内回复这些报告。在回复时,请提供报告活动的根本原因,并详细说明您为防止报告的问题再次发生而采取的措施。您可以在此处详细了解滥用报告流程。
经销商的责任 — AWS 服务的经销商负责其客户的安全测试活动。
所有安全测试都必须符合 AWS 安全测试条款和条件(见下文)。
我们希望您的安全测试成为一种积极的体验,能够有效地收集您需要的客观证据,而不会出现错误或中断。以下是一些有用的提示,如果遵循这些提示,可能会改善这种体验,同时也会得到您的提供商、AWS 和其他 AWS 客户的赞赏。
速率限制 – 为确保测试成功,请将扫描速率限制为 1Gbps 或 10000 RPS。
实例类型 — 我们建议从安全评估中排除以下 EC2 实例类型,尽量减少对您环境的潜在破坏
- T3.nano
- T2.nano
- T1.micro
- M1.small
测试 IP 地址 — 由于云环境的动态性质,应在开始测试之前验证所有 IP 地址,以确保 IP 地址的当前所有权。
如有任何问题,请通过 aws-security-simulated-event@amazon.com 联系我们。
安全测试(本“测试”):
(a) 仅限于 AWS 网站上列出的服务、网络带宽、每分钟请求数和实例类型:
https://aws.amazon.com/security/penetration-testing/
(b) 受您与 AWS 之间达成的 Amazon Web Services 客户协议(可在 http://aws.amazon.com/agreement/ 上获取)(本“协议”)条款的约束,并且
(c) 将遵守 AWS 关于使用安全评估工具和服务的策略(如下所示)。
如果发现由 AWS 工具或服务直接导致的漏洞或其他问题,必须在测试完成后的 24 小时内发送到 aws-security@amazon.com。
AWS 关于使用安全评估工具和服务的策略可以让您非常灵活地对 AWS 资产执行安全评估,同时保护其他 AWS 客户并确保 AWS 的服务质量。
AWS 了解有多种公共、私有、商业和/或开源工具和服务可供选择,用来对您的 AWS 资产执行安全评估。“安全评估”是指为确定 AWS 资产中安全控制的效能或存在而进行的所有活动,例如端口扫描、漏洞扫描/检查、渗透测试、利用、Web 应用程序扫描以及任何注入、伪造或模糊测试活动,可以远程对您的 AWS 资产、AWS 资产之间执行此类活动,也可以在虚拟资产内部本地执行。
您可以自由选择用来对 AWS 资产执行安全评估的工具或服务。但是,您不得利用任何工具或服务对任何 AWS 资产(您的资产或他人的资产)执行拒绝服务 (DoS) 攻击或模拟此类攻击。禁止的活动包括但不限于:
- 协议泛洪(例如 SYN 泛洪、ICMP 泛洪、UDP 泛洪)
- 资源请求泛洪(例如 HTTP 请求泛洪、登录请求泛洪、API 请求泛洪)
仅对您的 AWS 资产进行远程查询以确定软件名称和版本的安全工具不会违反本策略,例如“横幅抓取”,用于与已知易受 DoS 攻击的版本列表进行比较。
此外,临时或以其他方式仅导致 AWS 资产中运行的进程崩溃的安全工具或服务不会违反该策略,因为作为安全评估的一部分,这是远程或本地开发所必需的。但是,如上所述,此工具可能不会用于处理协议泛洪或资源请求泛洪。
明确禁止以任何其他方式(实际或模拟)创建 DoS 条件、确定其存在或演示 DoS 条件的安全工具或服务。
某些工具或服务包括所述的实际 DoS 功能,如果使用不当,则无论是以静默/固有方式,还是作为工具或服务的显式测试/检查或功能,都明确禁止。任何具有此类 DoS 功能的安全工具或服务都必须具有禁用、消除或以其他方式呈现无害性的显式能力,即 DoS 功能。否则,该工具或服务可能不会用于安全评估的任何方面。
AWS 客户的唯一职责是:(1) 确保用于执行安全评估的工具和服务已正确配置并成功运行,并且不会执行 DoS 攻击或模拟此类攻击,(2) 在对任何 AWS 资产执行安全评估之前,独立验证所使用的工具或服务不会执行 DoS 攻击或模拟此类攻击。上述 AWS 客户职责包括确保签约的第三方以不违反此策略的方式执行安全评估。
此外,您还应对您的测试或安全评估活动给 AWS 或其他 AWS 客户造成的任何损害负责。
AWS 会竭力尽快回应,并让您随时了解进度。你将在 2 个工作日内收到针对您的初次联系的非自动回应,确认我们已收到您的请求。
在审查您提交的申请信息时,我们会将它转交给适当的团队进行评估。考虑到申请的性质以及每项提交均需人工审查,我们可能需要长达 7 天才能给予回复。最后决定可能需要更长的时间,具体视是否需要更多信息来完成评估而定。
- 安全模拟或安全比赛日
- 支持模拟或支持比赛日
- 军事演习模拟
- 白卡
- 红队和蓝队测试
- 灾难恢复模拟。
- 其他模拟事件
请直接发送电子邮件到 aws-security-simulated-event@amazon.com。在就事件进行沟通时,请务必提供有关事件的详细信息,如:
- 日期
- 涉及的账户
- 涉及的资源
- 联系方式,包括电话号码
- 计划事件的详细说明
AWS 会竭力尽快回应,并让您随时了解进度。你将在 2 个工作日内收到针对您的初次联系的非自动回应,确认我们已收到您的请求。
在审查您提交的申请信息时,我们会将它转交给适当的团队进行评估。考虑到申请的性质以及每项提交均需人工审查,我们可能需要长达 7 天才能给予回复。最后决定可能需要更长的时间,具体视是否需要更多信息来完成评估而定。
收到我们的授权后,您不需要采取任何后续行动。您可以在您指定的期限内开展测试。
希望执行网络压力测试的客户应查看我们的压力测试策略。
希望执行 DDoS 模拟的客户可通过下述预先批准的供应商获得支持,请相应重新管理您的申请。
当前已获得批准的
供应商 Red Wolf Security
NCC Group
