Pengujian Penetrasi

Menguji lingkungan AWS terhadap definisi standar keamanan

Kebijakan Dukungan Pelanggan AWS untuk Pengujian Penetrasi

Pelanggan AWS dipersilakan untuk melaksanakan penilaian keamanan atau pengujian penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk 8 layanan, yang tercantum di bagian selanjutnya di bawah “Layanan Sah.”

Pastikan kegiatan-kegiatan ini sejalan dengan kebijakan yang diterapkan di bawah ini. Catatan: Pelanggan tidak dibenarkan melaksanakan penilaian keamanan apa pun terhadap infrastruktur AWS, atau layanan AWS itu sendiri. Jika Anda menemukan masalah keamanan dalam layanan AWS apa pun selama penilaian keamanan, segera hubungi Keamanan AWS.

Jika AWS menerima laporan penyalahgunaan atas aktivitas yang terkait dengan pengujian keamanan Anda, kami akan meneruskannya kepada Anda. Bila merespons, beritahukan akar masalah kegiatan yang dilaporkan dan rincian hal-hal yang telah Anda lakukan dalam mencegah masalah tersebut terjadi kembali. Pelajari selengkapnya di sini.

Reseller layanan AWS bertanggung jawab atas kegiatan pengujian keamanan pelanggannya.

Kebijakan Layanan Pelanggan untuk Pengujian Penetrasi

Layanan Sah

  • Instans Amazon EC2, NAT Gateway, dan Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • Fungsi AWS Lambda dan Lambda Edge
  • Sumber daya Amazon Lightsail
  • Lingkungan Amazon Elastic Beanstalk

Kegiatan Terlarang

  • Zone Walking DNS melalui Zona Terhosting Amazon Route 53
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS Tersimulasi, DDoS Tersimulasi (Daftar ini tunduk pada kebijakan Pengujian Simulasi DDoS)
  • Port flooding
  • Protocol flooding
  • Request flooding (request flooding login, request flooding API)

Kejadian Simulasi Lainnya

Meminta Autorisasi untuk Kejadian Simulasi Lainnya

AWS berkomitmen merespons dengan cepat dan terus memberi tahu Anda semua perkembangan kami. Silakan kirim formulir Kejadian Simulasi untuk menghubungi kami secara langsung. (Untuk pelanggan yang beroperasi di Wilayah AWS Tiongkok (Ningxia & Beijing), silakan gunakan formulir Kejadian Simulasi ini.)

Pastikan untuk memasukkan tanggal, akun yang terlibat, aset yang terlibat, dan informasi kontak, termasuk nomor telepon dan uraian lengkap tentang kejadian yang direncanakan. Respons nonotomatis dapat diperkirakan masuk ke kontak awal Anda dalam waktu 2 hari kerja, yang mengonfirmasi diterimanya permintaan Anda.

Penutupan Pengujian

Anda tidak perlu melakukan tindakan lebih lanjut setelah menerima otorisasi kami. Anda dapat melakukan pengujian hingga akhir periode yang Anda tentukan. 

Pengujian Tekanan Jaringan

Pelanggan yang ingin melakukan Uji Daya Tahan Jaringan harus membaca kebijakan Uji Daya Tahan.  

Pengujian Simulasi DDoS

Pelanggan yang ingin melakukan uji simulasi DDoS harus membaca kebijakan Pengujian Simulasi DDoS.

Syarat dan Ketentuan

Semua Pengujian Keamanan harus sejalan dengan Syarat dan Ketentuan Pengujian Keamanan AWS.

Pengujian Keamanan:

  • Akan dibatasi pada layanan, bandwidth jaringan, permintaan per menit, dan jenis instans
  • Diatur dengan ketentuan Perjanjian Pelanggan Amazon Web Services antara Anda dan AWS
  • Akan mematuhi kebijakan AWS tentang penggunaan alat dan layanan penilaian keamanan, disertakan di bagian berikut ini

Semua kerentanan yang ditemukan atau masalah lainnya yang merupakan dampak langsung dari alat atau layanan AWS harus disampaikan ke AWS Security dalam waktu 24 jam sejak pengujian selesai.

Kebijakan AWS Tentang Penggunaan Alat dan Layanan Penilaian Keamanan

Kebijakan AWS terkait dengan penggunaan alat dan layanan penilaian keamanan memungkinkan fleksibilitas signifikan untuk melakukan penilaian keamanan pada aset AWS Anda selagi melindungi pelanggan AWS lainnya dan menjamin kualitas pelayanan di seluruh AWS.

AWS memahami adanya berbagai macam alat dan layanan publik, pribadi, komersial, dan/atau sumber terbuka yang dapat dipilih untuk melakukan penilaian keamanan pada aset AWS Anda. Istilah “penilaian keamanan” merujuk pada semua kegiatan yang terlibat untuk menentukan efikasi atau eksistensi kontrol keamanan di antara banyak aset AWS Anda, misalnya pemindaian port, pemindaian/pemeriksaan kerentanan, pengujian penetrasi, eksploitasi, pemindaian aplikasi web, serta berbagai injeksi, pemalsuan, atau kegiatan penyamaran, baik dilakukan dari jarak jauh terhadap aset AWS, di antara banyak/dua aset AWS Anda, maupun secara lokal dalam aset yang divirtualisasi itu sendiri.

Anda TIDAK dibatasi dalam hal memilih alat atau layanan untuk melakukan penilaian keamanan aset AWS. Tetapi, Anda DILARANG menggunakan alat atau layanan apa pun yang dapat melakukan serangan Denial-of-Service (DoS) atau simulasi semacam itu terhadap aset AWS APA PUN, baik itu milik Anda, atau lainnya. Pelanggan yang ingin melakukan uji simulasi DDoS harus membaca kebijakan Pengujian Simulasi DDoS.

Alat keamanan yang hanya melakukan kueri jarak jauh pada aset AWS Anda untuk menentukan nama dan versi perangkat lunak, seperti "banner grabbing", yang berfungsi sebagai perbandingan terhadap daftar versi yang dikenal rentan terhadap DoS, TIDAK melanggar kebijakan ini.

Selain itu, alat atau layanan keamanan yang hanya mengganggu proses penjalanan aset AWS Anda, untuk sementara atau lainnya, sesuai keperluan untuk eksploitasi jarak jauh atau lokal sebagai bagian dari penilaian keamanan, TIDAK melanggar kebijakan ini. Namun, alat ini mungkin TIDAK memiliki protocol flooding atau resource request flooding, seperti yang telah disebutkan di atas.
Alat atau layanan keamanan yang membuat, menentukan eksistensi, atau menunjukkan kondisi DoS dalam cara APA PUN, aktual atau simulasi, secara tegas dilarang.

Beberapa alat atau layanan yang memiliki kemampuan DoS aktual seperti yang telah dijelaskan, baik secara implisit/inheren jika digunakan dengan tidak wajar maupun sebagai pengujian/pemeriksaan atau fitur eksplisit pada alat atau layanan. Semua alat atau layanan keamanan yang memiliki kemampuan DoS semacam itu, harus memiliki kemampuan eksplisit untuk MENONAKTIFKAN atau MENGHILANGKAN kemampuan DoS tersebut, atau mengubahnya menjadi TIDAK BERBAHAYA. Jika tidak demikian, alat atau layanan tersebut TIDAK akan digunakan untuk faset APA PUN pada penilaian keamanan.

Satu-satunya tanggung jawab pelanggan AWS adalah: (1) memastikan alat dan layanan yang digunakan untuk melakukan penilaian keamanan telah dikonfigurasi secara tepat dan berhasil beroperasi tanpa melakukan serangan DoS atau simulasi semacamnya, dan (2) memvalidasi secara mandiri bahwa alat atau layanan yang digunakan tidak melakukan serangan DoS, atau simulasi semacamnya, TERLEBIH DAHULU untuk penilaian keamanan pada aset AWS mana pun. Tanggung jawab pelanggan AWS ini termasuk memastikan pihak ketiga yang dikontrak melakukan penilaian keamanan tanpa melanggar kebijakan ini.

Selanjutnya, Anda bertanggung jawab atas berbagai kerugian bagi AWS atau pelanggan AWS lainnya yang disebabkan oleh kegiatan Pengujian atau penilaian keamanan Anda.

Hubungi Perwakilan Bisnis AWS
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjejalahi peran keamanan?
Daftar sekarang »
Menginginkan info terkini tentang Keamanan AWS?
Ikuti kami di Twitter »