침투 테스트
침투 테스트용 AWS 고객 지원 정책
AWS 고객은 다음 섹션의 “허용 서비스”에 나열된 서비스에 대해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트를 수행할 수 있습니다. 또한, AWS는 고객이 AWS IP 공간 내의 보안 평가 도구나, AWS 또는 계약한 타사 온프레미스 클라우드 공급자의 보안 평가 도구를 호스팅하여 테스트를 수행하는 것을 허가합니다. 명령 및 제어(C2)를 포함하는 모든 보안 테스트는 사전 승인이 필요합니다.
이러한 활동이 아래 명시된 정책에 부합하는지 확인하세요. 참고: 고객은 AWS 인프라 또는 AWS 서비스 자체의 보안 평가를 수행할 수 없습니다. 보안 평가 중 AWS 서비스 내에서 보안 문제를 발견하면 AWS 보안 팀에 즉시 문의하세요.
AWS는 보안 테스트와 관련된 활동에 대한 악용 사례 보고서를 받을 경우 이를 고객에게 전달합니다. 응답 시 타사 신고자와 공유할 수 있는 연락처를 포함하여 승인된 언어로 사용 사례를 자세히 설명하여 제공하세요. 여기에서 자세히 알아보세요.
AWS 서비스의 리셀러는 고객의 보안 테스트 활동에 대한 의무가 있습니다.
침투 테스트용 고객 서비스 정책
허용 서비스
- Amazon EC2 인스턴스, WAF, NAT 게이트웨이, Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- AWS Lambda 및 Lambda Edge 함수
- Amazon Lightsail 리소스
- Amazon Elastic Beanstalk 환경
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- AWS Transit Gateway
- S3 호스팅된 애플리케이션(S3 버킷을 대상으로 설정하는 것은 엄격히 금지됩니다)
금지 활동
- Amazon Route 53 Hosted Zones를 통한 DNS zone walking
- Route 53를 통하여 DNS 하이재킹
- Route 53를 통하여 DNS 파밍
- 서비스 거부(DoS), 분산 서비스 거부(DDoS), 시뮬레이트 DoS, 시뮬레이트 DDoS(DDoS 시뮬레이션 테스트 정책에 따라 다름)
포트 플러딩
- 프로토콜 플러딩
- 요청 플러딩(로그인 요청 플러딩, API 요청 플러딩)
승인되지 않은 서비스를 테스트하려는 고객은 AWS Support 또는 계정 담당자에게 직접 문의해야 합니다.
기타 시뮬레이션된 이벤트
레드/블루/퍼플 팀 테스트
레드/블루/퍼플 팀 테스트는 조직의 보안 인식 및 응답 시간을 테스트하기 위하여 설계된 적대적 보안 시뮬레이션입니다.
적대적 보안 시뮬레이션을 비밀로 수행 및/또는 명령 및 제어(C2)를 호스팅하려는 고객은 시뮬레이션 이벤트 양식을 제출하여 검토받아야 합니다.
네트워크 스트레스 테스트
스트레스 테스트는 대량의 합법적 또는 테스트 트래픽을 의도한 특정 대상 애플리케이션에 전송하여 효율적인 운영 용량을 보장하는 성능 테스트입니다. 엔드포인트 애플리케이션은 테스트의 일부로서 테스트가 의도한 기능을 수행하여야 합니다. 목표치를 초과하는 시도는 서비스 거부 공격(DoS)으로 간주됩니다.
네트워크 스트레스 테스트를 수행하려는 고객은 AWS의 스트레스 테스트 정책을 검토해야 합니다.
iPerf 테스트
iPerf는 네트워크 성능 측정 및 튜닝을 위한 도구입니다. iPerf는 모든 네트워크에 대하여 표준화된 성능 측정을 생성할 수 있는 교차 플랫폼 도구입니다.
iPerf 테스트를 수행하려는 고객은 시뮬레이션 이벤트 양식을 제출하여 검토받아야 합니다.
DDoS 시뮬레이션 테스트
범죄자가 여러 소스에서 대량의 트래픽을 이용해서 표적으로 삼은 애플리케이션의 가용성에 영향을 미치려고 시도하는 것을 분산형 서비스 거부(DDoS) 공격이라고 합니다. DDoS 시뮬레이션 테스트는 통제된 DDoS 공격으로 애플리케이션 소유자가 애플리케이션의 회복력을 평가하고 이벤트에 대한 대응을 훈련할 수 있도록 합니다.
DDoS 시뮬레이션 테스트를 수행하려는 고객은 DDoS 시뮬레이션 테스트 정책을 검토해야 합니다.
피싱 시뮬레이션
피싱 시뮬레이션은 사용자로부터 민감한 정보를 얻기 위하여 시도하는 소셜 엔지니어링 공격의 시뮬레이션입니다. 목표는 사용자를 식별하고 유효한 이메일과 피싱 이메일의 차이점을 교육하여 조직 보안을 강화하는 것입니다.
피싱 시뮬레이션 캠페인을 수행하려는 고객은 시뮬레이션 이벤트 양식을 제출하여 검토받아야 합니다.
멀웨어 테스트
멀웨어 테스트는 보안 기능을 개선하기 위하여 악성 파일이나 프로그램을 애플리케이션이나 바이러스 백신 프로그램에 적용하는 사례입니다.
멀웨어 테스트를 수행하려는 고객은 시뮬레이션 이벤트 양식을 제출하여 검토받아야 합니다.
기타 시뮬레이션 이벤트에 대한 승인 요청
AWS에서는 즉각 대응하고 계속해서 진행 상황을 알려 드립니다. 직접 문의하려면 시뮬레이션 이벤트 양식을 제출하세요. AWS 중국(닝샤 및 베이징) 리전에서 운영하는 고객의 경우 이 시뮬레이션 이벤트 양식을 사용하세요.
날짜, 관련 계정 ID, 관련 자산, 연락처 정보(전화 번호와 계획한 이벤트에 대한 자세한 설명 포함)를 포함해야 합니다. 요청을 수신했음을 확인하는 의미로, 자동화되지 않은 응답을 영업일 기준 2일 이내에 1차 연락처로 보내드립니다.
모든 시뮬레이션 이벤트 요청은 시작 날짜 최소 2주 전에 AWS에 제출해야 합니다.
테스트 결론
승인을 받은 후에는 사용자의 추가 작업이 필요하지 않습니다. 명시된 기간이 끝날 때까지 테스트를 실시할 수 있습니다.
이용 약관
모든 보안 테스트는 AWS 보안 테스트 이용 약관(아래 참조)과 부합해야 합니다.
보안 테스트:
- 서비스, 네트워크 대역폭, 분당 요청 및 인스턴스 유형으로 제한됩니다.
- 이 서비스 사용은 사용자와 AWS와의 Amazon Web Services 고객 계약에 따릅니다.
- 보안 평가 도구 및 서비스(다음 섹션에 포함)의 사용에 관한 AWS의 정책을 준수합니다.
AWS의 도구 또는 서비스의 직접적인 결과인 취약점 또는 기타 문제점에 대한 발견은 테스트 완료 후 24시간 이내에 AWS 보안 팀으로 전달되어야 합니다.
보안 평가 도구 및 서비스 사용에 관한 AWS 정책
보안 평가 도구 및 서비스 사용과 관련하여 AWS의 정책은 AWS 자산의 보안 평가를 수행하는데 상당한 유연성을 제공하며 다른 AWS 고객을 보호하고 AWS에서 서비스 품질을 보장합니다.
AWS는 AWS 자산의 보안 평가를 수행하기 위해 선택할 수 있는 공개, 비공개, 상업용 및/또는 오픈 소스 도구 및 서비스가 다양하다는 것을 이해하고 있습니다. "보안 평가"라는 용어는 투입, 위조 또는 퍼즈 활동을 비롯해 AWS 자산에 반해 원격으로 시행되는, AWS 자산 간에 또는 가상화된 자산 자체 내에서 국지적으로 발생하는 포트 스캐닝, 취약성 스캐닝/확인, 침투 테스트, 악용, 웹 애플리케이션 스캐닝과 같이 AWS 자산 간에 보안 제어의 효용성 또는 존재를 결정하기 위해 관련된 모든 활동을 의미합니다.
AWS 자산의 보안 평가를 수행하기 위한 도구 또는 서비스 선택에 제한이 없습니다. 그러나 서비스 거부(DoS) 공격 또는 모든 AWS 자산과 같은 시뮬레이션을 수행하는 방식으로 도구 또는 서비스를 이용하는 것은 금지됩니다. DDoS 시뮬레이션 테스트를 수행하려는 고객은 DDoS 시뮬레이션 테스트 정책을 검토해야 합니다.
DoS에 취약한 것으로 알려진 버전 목록과 비교의 목적으로 "배너 그래빙"과 같은 소프트웨어 이름과 버전을 결정하기 위해 AWS 자산의 원격 쿼리만 수행하는 보안 도구는 이 정책을 위반하지 않습니다.
또한, 보안 평가의 일환으로 원격 또는 로컬 악용에 필요한 경우 AWS 자산의 실행 중인 프로세스에만 일시적으로 충돌하는 (또는 다른 것이든) 보안 도구 또는 서비스는 이 정책을 위반하지 않습니다. 그러나 이 도구는 위에서 언급 한 것처럼 프로토콜 플러딩 또는 리소스 요청 플러딩에 관여하지 않을 수 있습니다.
실제 또는 시뮬레이션된 다른 모든 방법으로 DoS 조건을 생성, 존재의 결정 또는 입증하는 보안 도구 또는 서비스는 명확히 금지됩니다.
일부 도구 또는 서비스는 부적절하게 사용되거나 명시적 테스트/확인이나 도구 또는 서비스의 기능으로 사용되는 경우 조용히/본질적으로 설명된 실제 DoS 기능이 포함됩니다. 그러한 DoS 기능을 가진 모든 보안 도구 또는 서비스는 Dos 기능을 비활성화, 무장 해제나 그렇지 않으면 무해 상태로 만들 수 있는 명백한 기능이 있어야 합니다. 그렇지 않으면, 해당 도구 또는 서비스는 보안 평가의 어떤 패싯에도 적용할 수 없을 수 있습니다.
AWS 고객은 다음에 대해서만 의무가 있습니다: (1) 보안 평가 수행을 위해 사용한 도구와 서비스가 DoS 공격이나 시뮬레이션을 수행하지 않는 방식으로 올바르게 구성되고 성공적으로 작동하는지 확인합니다. 그리고 (2) 고용한 도구 또는 서비스가 DoS 공격 또는 AWS 자산의 보안 평가 이전과 같은 시뮬레이션을 수행하지 않는지 독립적으로 입증합니다. 이 AWS 고객에 대한 의무는 계약한 제3자가 이 정책을 위반하지 않는 방식으로 보안 평가를 수행하도록 보장하는 것을 포함합니다.
또한, 여러분은 테스트나 보안 평가 활동으로 인한 AWS 또는 기타 AWS 고객의 모든 손해에 대해 책임을 집니다.