渗透测试

AWS 会竭力尽快回应，并让您随时了解进度。请直接发送电子邮件到 aws-security-simulated-event@amazon.com。确保包含日期、所涉及的账户、所涉及的资产和联系信息，包括电话号码和计划事件的详细描述。你将在 2 个工作日内收到针对您的初次联系的非自动回应，确认我们已收到您的请求。

在审查您提交的申请信息时，我们会将它转交给适当的团队进行评估。考虑到申请的性质以及每项提交均需人工审查，我们可能需要长达 7 天才能给予回复。最后决定可能需要更长的时间，具体视是否需要更多信息来完成评估而定。

收到我们的授权后，您不需要采取任何后续行动。您可以在您指定的期限内开展测试。 

希望执行网络压力测试的客户应查看我们的压力测试策略。希望执行 DDoS 模拟的客户可通过下述预先批准的供应商获得支持。请相应重新管理您的申请。

• Red Wolf Security
• NCC Group
• AWS ProServ

AWS 关于使用安全评估工具和服务的策略可以让您非常灵活地对 AWS 资产执行安全评估，同时保护其他 AWS 客户并确保 AWS 的服务质量。

AWS 了解有多种公共、私有、商业和/或开源工具和服务可供选择，用来对您的 AWS 资产执行安全评估。“安全评估”是指为确定 AWS 资产中安全控制的效能或存在而进行的所有活动，例如端口扫描、漏洞扫描/检查、渗透测试、利用、Web 应用程序扫描以及任何注入、伪造或模糊测试活动，可以远程对您的 AWS 资产、AWS 资产之间执行此类活动，也可以在虚拟资产内部本地执行。

您可以自由选择用来对 AWS 资产执行安全评估的工具或服务。但是，您不得利用任何工具或服务对任何 AWS 资产（您的资产或他人的资产）执行拒绝服务 (DoS) 攻击或模拟此类攻击。禁止的活动包括但不限于：

• 协议泛洪（例如 SYN 泛洪、ICMP 泛洪、UDP 泛洪）
• 资源请求泛洪（例如 HTTP 请求泛洪、登录请求泛洪、API 请求泛洪）

仅对您的 AWS 资产进行远程查询以确定软件名称和版本的安全工具不会违反本策略，例如“横幅抓取”，用于与已知易受 DoS 攻击的版本列表进行比较。

此外，临时或以其他方式仅导致 AWS 资产中运行的进程崩溃的安全工具或服务不会违反该策略，因为作为安全评估的一部分，这是远程或本地开发所必需的。但是，如上所述，此工具可能不会用于处理协议泛洪或资源请求泛洪。
明确禁止以任何其他方式（实际或模拟）创建 DoS 条件、确定其存在或演示 DoS 条件的安全工具或服务。

某些工具或服务包括所述的实际 DoS 功能，如果使用不当，则无论是以静默/固有方式，还是作为工具或服务的显式测试/检查或功能，都明确禁止。任何具有此类 DoS 功能的安全工具或服务都必须具有禁用、消除或以其他方式呈现无害性的显式能力，即 DoS 功能。否则，该工具或服务可能不会用于安全评估的任何方面。

AWS 客户的唯一职责是：(1) 确保用于执行安全评估的工具和服务已正确配置并成功运行，并且不会执行 DoS 攻击或模拟此类攻击，(2) 在对任何 AWS 资产执行安全评估之前，独立验证所使用的工具或服务不会执行 DoS 攻击或模拟此类攻击。上述 AWS 客户职责包括确保签约的第三方以不违反此策略的方式执行安全评估。

此外，您还应对您的测试或安全评估活动给 AWS 或其他 AWS 客户造成的任何损害负责。