Pengujian Penetrasi

Kebijakan Dukungan Pelanggan AWS untuk Pengujian Penetrasi

Pelanggan AWS dipersilakan untuk melakukan penilaian keamanan atau uji penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan sebelumnya untuk layanan yang tercantum di bagian berikutnya di bawah "Layanan yang Diizinkan". Selain itu, AWS mengizinkan pelanggan untuk meng-hosting alat penilaian keamanan mereka dalam ruang IP AWS atau penyedia cloud lainnya untuk pengujian yang dikontrak on-prem, di AWS, atau pihak ketiga. Semua pengujian keamanan yang mencakup Perintah dan Kontrol (Command and Control/C2) memerlukan persetujuan terlebih dahulu.

Pastikan bahwa aktivitas ini sejalan dengan kebijakan yang ditetapkan di bawah ini. Catatan: Pelanggan tidak dibenarkan melaksanakan penilaian keamanan apa pun terhadap infrastruktur AWS atau layanan AWS itu sendiri. Jika Anda menemukan masalah keamanan dalam layanan AWS mana pun yang terlihat dalam penilaian keamanan, segera hubungi AWS Security.

Jika AWS menerima laporan penyalahgunaan terkait dengan aktivitas pengujian keamanan Anda, kami akan meneruskannya kepada Anda. Saat merespons, harap berikan kami perincian kasus penggunaan Anda dalam bahasa yang disetujui, termasuk titik kontak yang dapat kami bagikan dengan pelapor pihak ketiga mana pun. Pelajari selengkapnya di sini.

Reseller layanan AWS bertanggung jawab atas aktivitas pengujian keamanan pelanggan mereka.

Kebijakan Layanan Pelanggan untuk Pengujian Penetrasi

Layanan Sah

  • Instans Amazon EC2, WAF, NAT Gateway, dan Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS AppSync
  • Fungsi AWS Lambda dan Lambda Edge
  • Sumber daya Amazon Lightsail
  • Lingkungan Amazon Elastic Beanstalk
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • Amazon Transit Gateway
  • Aplikasi terhosting S3 (menargetkan bucket S3 sangat dilarang) 
Pelanggan yang ingin menguji layanan yang tidak disetujui perlu bekerja secara langsung dengan Tim Dukungan AWS mereka. 

Kegiatan Terlarang

  • DNS Zone Walking melalui Zona yang Di-hosting Amazon Route 53
  • Pembajakan DNS melalui Route 53
  • Pharming DNS melalui Rute 53
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS Simulasi, DDoS Simulasi (Semua ini tunduk pada kebijakan Pengujian Simulasi DDoS Port flooding
  • Protocol flooding
  • Request flooding (request flooding login, request flooding API)

Peristiwa yang Disimulasikan Lainnya

Pengujian Tim Merah/Biru/Ungu


Uji Tim Merah/Biru/Ungu adalah simulasi keamanan dengan musuh yang dirancang untuk menguji kesadaran keamanan dan waktu respons organisasi

Pelanggan yang ingin melakukan simulasi keamanan dengan musuh terselubung dan/atau melakukan hosting Perintah dan Kontrol (C2) harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau. 

Uji Tekanan Jaringan


Pengujian Tekanan adalah uji performa yang mengirimkan sejumlah besar lalu lintas yang sah atau uji coba ke aplikasi target yang ditentukan yang dimaksudkan untuk memastikan kapasitas operasional yang efisien. Aplikasi titik akhir diharapkan untuk melakukan fungsi yang dimaksudkan sebagai bagian dari pengujian. Setiap upaya untuk membuat target kewalahan dianggap sebagai penolakan layanan (DoS).

Pelanggan yang ingin melakukan Uji Tekanan Jaringan harus membaca kebijakan Uji Tekanan

Uji iPerf


iPerf adalah alat untuk pengukuran dan penyetelan performa jaringan. Uji iPerf adalah alat lintas platform yang dapat menghasilkan pengukuran performa yang distandarisasi untuk jaringan apa pun.

Pelanggan yang ingin melakukan uji iPerf harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau. 

Uji Simulasi DDoS


Serangan Distributed Denial of Service (DDoS) terjadi saat penyerang menggunakan luapan lalu lintas dari berbagai sumber untuk mencoba memengaruhi ketersediaan aplikasi yang ditargetkan. Uji simulasi DDoS menggunakan serangan DDoS terkontrol untuk memungkinkan pemilik aplikasi mengevaluasi ketahanan aplikasi dan mempraktikkan respons peristiwa.

Pelanggan yang ingin melakukan uji simulasi DDoS harus meninjau kebijakan Uji Simulasi DDoS kami. 

Phishing yang Disimulasikan


Phishing yang Disimulasikan adalah simulasi serangan rekayasa sosial yang berusaha mendapatkan informasi sensitif dari pengguna. Tujuannya adalah untuk mengidentifikasi pengguna dan mengedukasi mereka mengenai perbedaan antara email yang valid dan email phishing guna meningkatkan keamanan organisasi.

Pelanggan yang ingin melakukan kampanye Phishing yang Disimulasikan harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau. 

Uji Malware


Uji Malware adalah praktik memasukkan file atau program berbahaya ke aplikasi atau program antivirus guna meningkatkan fitur keamanan.

Pelanggan yang ingin melakukan Uji Malware harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau. 

Meminta Otorisasi untuk Peristiwa yang Disimulasikan Lainnya


AWS berkomitmen untuk merespons dengan cepat dan terus memberi tahu Anda semua perkembangan kami. Harap kirim formulir Peristiwa yang Disimulasikan untuk menghubungi kami secara langsung. (Untuk pelanggan yang beroperasi di Wilayah AWS Tiongkok (Ningxia & Beijing), harap gunakan formulir Peristiwa yang Disimulasikan.)

Pastikan untuk memasukkan tanggal, ID akun yang terlibat, aset yang terlibat, dan informasi kontak, termasuk nomor telepon dan uraian lengkap mengenai kejadian yang direncanakan. Respons non-otomatis dapat diperkirakan masuk ke kontak awal Anda dalam waktu 2 hari kerja, yang mengonfirmasi diterimanya permintaan Anda.

Semua permintaan Peristiwa yang Disimulasikan harus dikirimkan ke AWS setidaknya dua (2) minggu sebelum tanggal mulai.

Penutupan Pengujian


Anda tidak perlu melakukan tindakan lebih lanjut setelah menerima otorisasi kami. Anda dapat melakukan pengujian hingga akhir periode yang Anda tentukan.

Syarat dan Ketentuan

Semua Pengujian Keamanan harus sejalan dengan Syarat dan Ketentuan Pengujian Keamanan AWS.

Pengujian Keamanan:

  • Akan dibatasi pada layanan, bandwidth jaringan, permintaan per menit, dan tipe instans.
  • Tunduk pada ketentuan Perjanjian Pelanggan Amazon Web Services antara Anda dan AWS
  • Akan mematuhi kebijakan AWS tentang penggunaan alat dan layanan penilaian keamanan, disertakan di bagian berikut ini

Setiap penemuan kerentanan atau masalah lain yang merupakan hasil langsung dari alat atau layanan AWS harus disampaikan ke AWS Security dalam waktu 24 jam setelah penyelesaian pengujian.

Kebijakan AWS Tentang Penggunaan Alat dan Layanan Penilaian Keamanan

Kebijakan AWS terkait penggunaan alat dan layanan penilaian keamanan memungkinkan fleksibilitas yang signifikan untuk melakukan penilaian keamanan atas aset AWS Anda sekaligus melindungi pelanggan AWS lainnya dan memastikan kualitas layanan di seluruh AWS.

AWS memahami adanya berbagai macam alat dan layanan publik, pribadi, komersial, dan/atau sumber terbuka yang dapat dipilih untuk melakukan penilaian keamanan pada aset AWS Anda. Istilah “penilaian keamanan” merujuk pada semua kegiatan yang terlibat untuk menentukan efikasi atau eksistensi kontrol keamanan di antara banyak aset AWS Anda, misalnya pemindaian port, pemindaian/pemeriksaan kerentanan, pengujian penetrasi, eksploitasi, pemindaian aplikasi web, serta berbagai injeksi, pemalsuan, atau kegiatan penyamaran, baik dilakukan dari jarak jauh terhadap aset AWS, di antara banyak/dua aset AWS Anda, maupun secara lokal dalam aset yang divirtualisasi itu sendiri.

Anda TIDAK dibatasi dalam memilih alat atau layanan untuk melakukan penilaian keamanan atas aset AWS. Tetapi, Anda DILARANG menggunakan alat atau layanan apa pun yang dapat melakukan serangan Denial-of-Service (DoS) atau simulasi semacam itu terhadap aset AWS APA PUN, baik itu milik Anda, atau lainnya. Pelanggan yang ingin melakukan pengujian simulasi DDoS harus meninjau kebijakan Pengujian Simulasi DDoS kami.

Alat keamanan yang semata-mata melakukan kueri jarak jauh pada aset AWS Anda untuk menentukan nama dan versi perangkat lunak, seperti “banner grabbing”, untuk tujuan perbandingan pada daftar versi yang dikenal rentan terhadap DoS, TIDAK melanggar kebijakan ini.

Selain itu, alat atau layanan keamanan yang semata-mata merusak proses yang berjalan pada aset AWS Anda, untuk sementara atau lainnya, sesuai keperluan untuk eksploitasi jarak jauh atau lokal sebagai bagian dari penilaian keamanan, TIDAK melanggar kebijakan ini. Namun, alat ini mungkin TIDAK memiliki protocol flooding atau resource request flooding, seperti yang telah disebutkan di atas.

Alat atau layanan keamanan yang membuat, menentukan eksistensi, atau menunjukkan kondisi DoS dalam cara APA PUN, aktual atau simulasi, secara tegas dilarang.

Beberapa alat atau layanan memiliki kemampuan DoS aktual seperti yang dijelaskan, baik secara implisit/inheren, jika digunakan secara tidak wajar atau sebagai pengujian/pemeriksaan eksplisit atau fitur dari alat atau layanan tersebut. Semua alat atau layanan keamanan yang memiliki kemampuan DoS semacam itu, harus memiliki kemampuan eksplisit untuk MENONAKTIFKAN atau MENGHILANGKAN kemampuan DoS tersebut, atau mengubahnya menjadi TIDAK BERBAHAYA. Jika tidak demikian, alat atau layanan tersebut TIDAK akan digunakan untuk faset APA PUN pada penilaian keamanan.

Satu-satunya tanggung jawab pelanggan AWS adalah: (1) memastikan alat dan layanan yang digunakan untuk melakukan penilaian keamanan dikonfigurasi dengan benar dan berhasil beroperasi tanpa melakukan serangan DoS atau simulasinya, dan (2) memvalidasi secara independen bahwa alat atau layanan yang digunakan tidak melakukan serangan DoS atau simulasinya, SEBELUM penilaian keamanan terhadap aset AWS apa pun. Tanggung jawab pelanggan AWS ini termasuk memastikan pihak ketiga yang dikontrak melakukan penilaian keamanan tanpa melanggar kebijakan ini.

Selain itu, Anda bertanggung jawab atas segala kerusakan pada AWS atau pelanggan AWS lainnya yang disebabkan oleh kegiatan pengujian atau penilaian keamanan.

Hubungi Perwakilan Bisnis AWS
Ada Pertanyaan? Hubungi perwakilan bisnis AWS
Menjejalahi peran keamanan?
Daftar sekarang »
Menginginkan info terkini tentang Keamanan AWS?
Ikuti kami di Twitter »