침투 테스트

정의된 보안 표준을 기준으로 한 AWS 환경 테스트

침투 테스트용 AWS 고객 지원 정책

AWS 고객은 다음 섹션의 “허용 서비스”에 나열된 8가지 서비스에 대해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트를 수행할 수 있습니다.

이러한 활동이 아래 명시된 정책에 부합하는지 확인하십시오. 참고: 고객은 AWS 인프라 또는 AWS 서비스 자체의 보안 평가를 수행할 수 없습니다. 보안 평가 과정에서 AWS 서비스 내에서 보안 문제를 발견하면 AWS 보안 팀에 즉시 문의하십시오.

AWS는 보안 테스트와 관련된 활동에 대한 악용 사례 보고서를 받을 경우 이를 고객에게 전달합니다. 응답 시에는 보고한 활동의 근본 원인을 제공하고 보고한 문제가 되풀이되는 것을 방지하기 위해 수행한 작업을 자세히 설명하십시오. 여기에서 자세히 알아보십시오.

AWS 서비스의 리셀러는 고객의 보안 테스트 활동에 대한 의무가 있습니다.

침투 테스트용 고객 서비스 정책

허용 서비스

  • Amazon EC2 인스턴스, NAT 게이트웨이 및 Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda 및 Lambda Edge 기능
  • Amazon Lightsail 리소스
  • Amazon Elastic Beanstalk 환경

금지 활동

  • Amazon Route 53 Hosted Zones를 통한 DNS zone walking
  • 서비스 거부 (DoS), 분산 서비스 거부 (DDoS), 시뮬레이트 DoS, 시뮬레이트 DDoS
  • 포트 플러딩
  • 프로토콜 플러딩
  • 요청 플러딩(로그인 요청 플러딩, API 요청 플러딩)

기타 시뮬레이션된 이벤트

기타 시뮬레이션된 이벤트에 대한 승인 요청

AWS에서는 즉각 대응하고 계속해서 진행 상황을 알려 드립니다. aws-security-simulated-event@amazon.com으로 직접 이메일을 보내 주십시오. 날짜, 관련 계정, 관련 자산 및 연락처 정보(전화 번호와 계획된 이벤트에 대한 자세한 설명 포함)를 포함해야 합니다. 요청을 수신했음을 확인하는 의미로, 자동화되지 않은 응답을 영업일 기준 2일 이내에 1차 연락처로 보내드립니다.

AWS는 요청과 함께 제출된 정보를 검토한 후 평가를 담당하는 팀에게 해당 정보를 전달합니다. 이러한 요청의 성격상, 각 제출은 수동으로 검토되며 회신에는 최대 7일이 소요될 수 있습니다. 평가를 완료하기 위해 추가 정보가 필요한지 여부에 따라 최종 결정은 더 오래 걸릴 수 있습니다.

테스트 결론

승인을 받은 후에는 사용자의 추가 작업이 필요하지 않습니다. 명시된 기간이 끝날 때까지 테스트를 실시할 수 있습니다. 

네트워크 스트레스 테스트

네트워크 스트레스 테스트를 수행하려는 고객은 AWS의 스트레스 테스트 정책을 검토해야 합니다. DDoS 시뮬레이션을 원하는 고객은 아래에 명시된 사전 승인 공급업체를 통해 지원되므로 요청을 올바르게 리디렉션하십시오.

이용 약관

모든 보안 테스트는 AWS 보안 테스트 이용 약관(아래 참조)과 부합해야 합니다.

보안 테스트:

  • 서비스, 네트워크 대역폭, 분당 요청 및 인스턴스 유형으로 제한됩니다.
  • 이 서비스 사용은 Amazon Web Services 고객 계약에 따릅니다.
  • 보안 평가 도구 및 서비스(다음 섹션에 포함)의 사용에 관한 AWS의 정책을 준수합니다.

AWS의 도구 또는 서비스의 직접적인 결과인 취약점 또는 기타 문제점에 대한 발견은 테스트 완료 후 24시간 이내에 AWS 보안 팀으로 전달되어야 합니다.

보안 평가 도구 및 서비스 사용에 관한 AWS 정책

보안 평가 도구 및 서비스 사용과 관련하여 AWS의 정책은 AWS 자산의 보안 평가를 수행하는데 상당한 유연성을 제공하며 다른 AWS 고객을 보호하고 AWS에서 서비스 품질을 보장합니다.

AWS는 AWS 자산의 보안 평가를 수행하기 위해 선택할 수 있는 공개, 비공개, 상업용 및/또는 오픈 소스 도구 및 서비스가 다양하다는 것을 이해하고 있습니다. "보안 평가"라는 용어는 투입, 위조 또는 퍼즈 활동을 비롯해 AWS 자산에 반해 원격으로 시행되는, AWS 자산 간에 또는 가상화된 자산 자체 내에서 국지적으로 발생하는 포트 스캐닝, 취약성 스캐닝/확인, 침투 테스트, 악용, 웹 애플리케이션 스캐닝과 같이 AWS 자산 간에 보안 제어의 효용성 또는 존재를 결정하기 위해 관련된 모든 활동을 의미합니다.

AWS 자산의 보안 평가를 수행하기 위한 도구 또는 서비스 선택에 제한이 없습니다. 그러나 서비스 거부 (DoS) 공격 또는 모든 AWS 자산과 같은 시뮬레이션을 수행하는 방식으로 도구 또는 서비스를 이용하는 것은 금지됩니다. 금지된 활동에는 다음이 포함되지만 이에 국한되지는 않습니다.

  • 프로토콜 플러딩(예: SYN 플러딩, ICMP 플러딩, UDP 플러딩)
  • 리소스 요청 플러딩(예: HTTP 요청 플러딩, 로그인 요청 플러딩, API 요청 플러딩)

DoS에 취약한 것으로 알려진 버전 목록과 비교의 목적으로 "배너 그래빙"과 같은 소프트웨어 이름과 버전을 결정하기 위해 AWS 자산의 원격 쿼리만 수행하는 보안 도구는 이 정책을 위반하지 않습니다.

또한, 보안 평가의 일환으로 원격 또는 로컬 악용에 필요한 경우 AWS 자산의 실행 중인 프로세스에만 일시적으로 충돌하는 (또는 다른 것이든) 보안 도구 또는 서비스는 이 정책을 위반하지 않습니다. 그러나 이 도구는 위에서 언급 한 것처럼 프로토콜 플러딩 또는 리소스 요청 플러딩에 관여하지 않을 수 있습니다.
실제 또는 시뮬레이션된 다른 모든 방법으로 DoS 조건을 생성, 존재의 결정 또는 입증하는 보안 도구 또는 서비스는 명확히 금지됩니다.

일부 도구 또는 서비스는 부적절하게 사용되거나 명시적 테스트/확인이나 도구 또는 서비스의 기능으로 사용되는 경우 조용히/본질적으로 설명된 실제 DoS 기능이 포함됩니다. 그러한 DoS 기능을 가진 모든 보안 도구 또는 서비스는 Dos 기능을 비활성화, 무장 해제나 그렇지 않으면 무해 상태로 만들 수 있는 명백한 기능이 있어야 합니다. 그렇지 않으면, 해당 도구 또는 서비스는 보안 평가의 어떤 패싯에도 적용할 수 없을 수 있습니다.

AWS 고객은 다음에 대해서만 의무가 있습니다: (1) 보안 평가 수행을 위해 사용한 도구와 서비스가 DoS 공격이나 시뮬레이션을 수행하지 않는 방식으로 올바르게 구성되고 성공적으로 작동하는지 확인합니다. 그리고 (2) 고용한 도구 또는 서비스가 DoS 공격 또는 AWS 자산의 보안 평가 이전과 같은 시뮬레이션을 수행하지 않는지 독립적으로 입증합니다. 이 AWS 고객에 대한 의무는 계약한 제 3자가 이 정책을 위반하지 않는 방식으로 보안 평가를 수행하도록 보장하는 것을 포함합니다.

또한, 여러분은 테스트나 보안 평가 활동으로 인한 AWS 또는 기타 AWS 고객의 모든 손해에 대해 책임을 집니다.

AWS 비즈니스 담당자에게 문의
질문이 있으십니까? AWS 영업 담당자와 연결
보안 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 보안 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »