Pengujian Penetrasi
Kebijakan Dukungan Pelanggan AWS untuk Pengujian Penetrasi
Pelanggan AWS dipersilakan untuk melaksanakan penilaian keamanan atau pengujian penetrasi dari infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk layanan yang tercantum di bagian selanjutnya di bawah “Layanan Sah.” Selain itu, AWS mengizinkan pelanggan untuk meng-hosting alat penilaian keamanan mereka dalam ruang IP AWS atau penyedia cloud lainnya untuk pengujian yang dikontrak on-prem, di AWS, atau pihak ketiga. Semua pengujian keamanan yang mencakup Perintah dan Kontrol (Command and Control/C2) memerlukan persetujuan terlebih dahulu.
Pastikan kegiatan-kegiatan ini sejalan dengan kebijakan yang diterapkan di bawah ini. Catatan: Pelanggan tidak dibenarkan melaksanakan penilaian keamanan apa pun terhadap infrastruktur AWS atau layanan AWS itu sendiri. Jika Anda menemukan masalah keamanan dalam salah satu layanan AWS yang diamati dalam penilaian keamanan, segera hubungi Keamanan AWS.
Jika AWS menerima laporan penyalahgunaan atas aktivitas yang terkait dengan pengujian keamanan Anda, kami akan meneruskannya kepada Anda. Saat merespons, harap berikan kami perincian kasus penggunaan Anda dalam bahasa yang disetujui, termasuk titik kontak yang dapat kami bagikan dengan pelapor pihak ketiga mana pun. Pelajari selengkapnya di sini.
Reseller layanan AWS bertanggung jawab atas kegiatan pengujian keamanan pelanggan mereka.
Kebijakan Layanan Pelanggan untuk Pengujian Penetrasi
Layanan Sah
- Instans Amazon EC2, WAF, NAT Gateway, dan Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- Fungsi AWS Lambda dan Lambda Edge
- Sumber daya Amazon Lightsail
- Lingkungan Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Amazon Transit Gateway
- Aplikasi terhosting S3 (menargetkan bucket S3 sangat dilarang)
Kegiatan Terlarang
- DNS Zone Walking melalui Zona yang Di-hosting Amazon Route 53
- Pembajakan DNS melalui Route 53
- Pharming DNS melalui Rute 53
- Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS Tersimulasi, DDoS Tersimulasi (Daftar ini tunduk pada kebijakan Pengujian Simulasi DDoS
Port flooding
- Protocol flooding
- Request flooding (request flooding login, request flooding API)
Pelanggan yang ingin menguji layanan yang tidak disetujui perlu bekerja secara langsung dengan Tim Dukungan AWS mereka.
Peristiwa yang Disimulasikan Lainnya
Pengujian Tim Merah/Biru/Ungu
Uji Tim Merah/Biru/Ungu adalah simulasi keamanan dengan musuh yang dirancang untuk menguji kesadaran keamanan dan waktu respons organisasi
Pelanggan yang ingin melakukan simulasi keamanan dengan musuh terselubung dan/atau menghosting Perintah dan Kontrol (Command and Control / C2) harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau.
Pengujian Tekanan Jaringan
Pengujian Tekanan adalah uji performa yang mengirimkan sejumlah besar lalu lintas yang sah atau uji coba ke aplikasi target yang ditentukan yang dimaksudkan untuk memastikan kapasitas operasional yang efisien. Aplikasi titik akhir diharapkan untuk melakukan fungsi yang dimaksudkan sebagai bagian dari pengujian. Setiap upaya untuk membuat kewalahan target dianggap sebagai penolakan layanan (DoS).
Pelanggan yang ingin melakukan Uji Tekanan Jaringan harus meninjau kembali kebijakan Uji Tekanan.
Pengujian iPerf
iPerf adalah alat untuk pengukuran dan penyetelan performa jaringan. Ini adalah alat lintas platform yang dapat menghasilkan pengukuran performa yang distandarisasi untuk jaringan apa pun.
Pelanggan yang ingin melakukan pengujian iPerf harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau.
Pengujian Simulasi DDoS
Serangan Distributed Denial of Service (DDoS) terjadi saat penyerang menggunakan luapan lalu lintas dari berbagai sumber untuk mencoba memengaruhi ketersediaan aplikasi yang ditargetkan. Pengujian simulasi DDoS menggunakan serangan DDoS terkontrol untuk memungkinkan pemilik aplikasi mengevaluasi ketahanan aplikasi dan mempraktikkan respons peristiwa.
Pelanggan yang ingin melakukan uji simulasi DDoS harus meninjau kembali kebijakan Pengujian Simulasi DDoS.
Phishing yang Disimulasikan
Phishing yang Disimulasikan adalah simulasi serangan rekayasa sosial yang berusaha mendapatkan informasi sensitif dari pengguna. Tujuannya adalah untuk mengidentifikasi pengguna dan mengedukasi mereka mengenai perbedaan antara email yang valid dan email phishing guna meningkatkan keamanan organisasi.
Pelanggan yang ingin melakukan kampanye Phishing yang Disimulasikan harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau.
Pengujian Malware
Pengujian Malware adalah praktik memasukkan file atau program berbahaya ke aplikasi atau program antivirus guna meningkatkan fitur keamanan.
Pelanggan yang ingin melakukan pengujian Malware harus mengirimkan formulir Peristiwa yang Disimulasikan untuk ditinjau.
Meminta Otorisasi untuk Peristiwa yang Disimulasikan Lainnya
AWS berkomitmen untuk merespons dengan cepat dan terus memberi tahu Anda semua perkembangan kami. Silakan kirim formulir Peristiwa yang Disimulasikan untuk menghubungi kami secara langsung. (Untuk pelanggan yang beroperasi di Wilayah AWS Tiongkok (Ningxia & Beijing), silakan gunakan formulir Peristiwa yang Disimulasikan ini.)
Pastikan untuk memasukkan tanggal, ID akun yang terlibat, aset yang terlibat, dan informasi kontak, termasuk nomor telepon dan uraian lengkap tentang kejadian yang direncanakan. Respons non-otomatis dapat diperkirakan masuk ke kontak awal Anda dalam waktu 2 hari kerja, yang mengonfirmasi diterimanya permintaan Anda.
Semua permintaan Peristiwa yang Disimulasikan harus dikirimkan ke AWS setidaknya dua (2) minggu sebelum tanggal mulai.
Penutupan Pengujian
Anda tidak perlu melakukan tindakan lebih lanjut setelah menerima otorisasi kami. Anda dapat melakukan pengujian hingga akhir periode yang Anda tentukan.
Syarat dan Ketentuan
Semua Pengujian Keamanan harus sejalan dengan Syarat dan Ketentuan Pengujian Keamanan AWS.
Pengujian Keamanan:
- Akan dibatasi pada layanan, bandwidth jaringan, permintaan per menit, dan jenis instans
- Diatur dengan ketentuan Perjanjian Pelanggan Amazon Web Services antara Anda dan AWS
- Akan mematuhi kebijakan AWS tentang penggunaan alat dan layanan penilaian keamanan, disertakan di bagian berikut ini
Semua kerentanan yang ditemukan atau masalah lainnya yang merupakan dampak langsung dari alat atau layanan AWS harus disampaikan ke AWS Security dalam waktu 24 jam sejak pengujian selesai.
Kebijakan AWS Tentang Penggunaan Alat dan Layanan Penilaian Keamanan
Kebijakan AWS terkait dengan penggunaan alat dan layanan penilaian keamanan memungkinkan fleksibilitas signifikan untuk melakukan penilaian keamanan pada aset AWS Anda selagi melindungi pelanggan AWS lainnya dan menjamin kualitas pelayanan di seluruh AWS.
AWS memahami adanya berbagai macam alat dan layanan publik, pribadi, komersial, dan/atau sumber terbuka yang dapat dipilih untuk melakukan penilaian keamanan pada aset AWS Anda. Istilah “penilaian keamanan” merujuk pada semua kegiatan yang terlibat untuk menentukan efikasi atau eksistensi kontrol keamanan di antara banyak aset AWS Anda, misalnya pemindaian port, pemindaian/pemeriksaan kerentanan, pengujian penetrasi, eksploitasi, pemindaian aplikasi web, serta berbagai injeksi, pemalsuan, atau kegiatan penyamaran, baik dilakukan dari jarak jauh terhadap aset AWS, di antara banyak/dua aset AWS Anda, maupun secara lokal dalam aset yang divirtualisasi itu sendiri.
Anda TIDAK dibatasi dalam hal memilih alat atau layanan untuk melakukan penilaian keamanan aset AWS. Tetapi, Anda DILARANG menggunakan alat atau layanan apa pun yang dapat melakukan serangan Denial-of-Service (DoS) atau simulasi semacam itu terhadap aset AWS APA PUN, baik itu milik Anda, atau lainnya. Pelanggan yang ingin melakukan uji simulasi DDoS harus meninjau kembali kebijakan Pengujian Simulasi DDoS.
Alat keamanan yang hanya melakukan kueri jarak jauh pada aset AWS Anda untuk menentukan nama dan versi perangkat lunak, seperti "banner grabbing", yang berfungsi sebagai perbandingan terhadap daftar versi yang dikenal rentan terhadap DoS, TIDAK melanggar kebijakan ini.
Selain itu, alat atau layanan keamanan yang hanya mengganggu proses penjalanan aset AWS Anda, untuk sementara atau lainnya, sesuai keperluan untuk eksploitasi jarak jauh atau lokal sebagai bagian dari penilaian keamanan, TIDAK melanggar kebijakan ini. Namun, alat ini mungkin TIDAK memiliki protocol flooding atau resource request flooding, seperti yang telah disebutkan di atas.
Alat atau layanan keamanan yang membuat, menentukan eksistensi, atau menunjukkan kondisi DoS dalam cara APA PUN, aktual atau simulasi, secara tegas dilarang.
Beberapa alat atau layanan yang memiliki kemampuan DoS aktual seperti yang telah dijelaskan, baik secara implisit/inheren jika digunakan dengan tidak wajar maupun sebagai pengujian/pemeriksaan atau fitur eksplisit pada alat atau layanan. Semua alat atau layanan keamanan yang memiliki kemampuan DoS semacam itu, harus memiliki kemampuan eksplisit untuk MENONAKTIFKAN atau MENGHILANGKAN kemampuan DoS tersebut, atau mengubahnya menjadi TIDAK BERBAHAYA. Jika tidak demikian, alat atau layanan tersebut TIDAK akan digunakan untuk faset APA PUN pada penilaian keamanan.
Satu-satunya tanggung jawab pelanggan AWS adalah: (1) memastikan alat dan layanan yang digunakan untuk melakukan penilaian keamanan telah dikonfigurasi secara tepat dan berhasil beroperasi tanpa melakukan serangan DoS atau simulasi semacamnya, dan (2) memvalidasi secara mandiri bahwa alat atau layanan yang digunakan tidak melakukan serangan DoS, atau simulasi semacamnya, TERLEBIH DAHULU untuk penilaian keamanan pada aset AWS mana pun. Tanggung jawab pelanggan AWS ini termasuk memastikan pihak ketiga yang dikontrak melakukan penilaian keamanan tanpa melanggar kebijakan ini.
Selanjutnya, Anda bertanggung jawab atas berbagai kerugian bagi AWS atau pelanggan AWS lainnya yang disebabkan oleh kegiatan pengujian atau penilaian keamanan Anda.
