Проверка уязвимостей

Проверьте среду AWS на соответствие принятым стандартам безопасности

Политика поддержки клиентов AWS при проведении проверки уязвимостей

Клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в рамках восьми сервисов AWS, перечисленных в пункте «Разрешенные сервисы» ниже.

При этом необходимо убедиться, что выполняемые действия соответствуют приведенным ниже политикам. Примечание. Клиенты не имеют права проводить какие‑либо самостоятельные оценки безопасности инфраструктуры или сервисов AWS. Если в ходе оценки безопасности вы столкнулись с какой‑либо уязвимостью в любом из сервисов AWS, просим незамедлительно связаться с отделом безопасности AWS.

Если AWS получит сообщение о возможных нарушениях в отношении действий, связанных с проводимым вами испытанием системы безопасности, оно будет перенаправлено вам. При подготовке ответа вам необходимо указать первопричину для проведения данного действия и указать, какие меры были приняты для предотвращения подобных событий в будущем. Подробнее см. здесь.

Торговые посредники сервисов AWS несут ответственность за испытания безопасности, проводимые их клиентами.

Политика поддержки клиентов при проведении проверки уязвимостей

Разрешенные сервисы:

  • инстансы Amazon EC2, шлюзы NAT и балансировщики Elastic Load Balancer;
  • Amazon RDS;
  • Amazon CloudFront;
  • Amazon Aurora;
  • Amazon API Gateway;
  • AWS Lambda и функции Lambda Edge;
  • ресурсы Amazon Lightsail;
  • среды Amazon Elastic Beanstalk.

Запрещенные действия:

  • перемещение по зонам DNS с использованием зон хостинга Amazon Route 53;
  • атаки типа «отказ в обслуживании» (DoS), атаки типа «распределенный отказ в обслуживании» (DDoS), имитации атак типа DoS и DDoS (на них распространяется политика тестирования путем моделирования DDoS-атак);
  • флудинг портов;
  • флудинг протоколов;
  • флудинг запросами (например, флудинг запросами на вход или запросами API).

Другие виды тестирования

Заявка на авторизацию для использования других видов тестирования

AWS будет поддерживать связь с вами и информировать о продвижении рассмотрения заявки. Чтобы связаться с нами напрямую, отправьте форму видов тестирования. (Для клиентов, работающих в регионе AWS Китай (Нинся и Пекин): пользуйтесь этой формой видов тестирования.)

В своем сообщении укажите дату тестирования; аккаунты и ресурсы, включенные в тестирование; контактную информацию, включая номер телефона и подробное описание запланированных мероприятий. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.

Завершение тестирования

После получения авторизации никаких дополнительных действий со стороны клиента не требуется. Тестирование необходимо завершить до конца указанного вами периода. 

Стресс-тестирование сети

Клиенты, желающие выполнить стресс-тестирование сети, должны ознакомиться с политикой его проведения.  

Тестирование путем моделирования DDoS-атак

Клиенты, желающие провести тестирование путем моделирования DDoS-атак, должны ознакомиться с нашей политикой тестирования путем моделирования DDoS-атак.

Условия и положения

Все испытания безопасности должны проводиться в соответствии с условиями и положениями о проведении испытаний безопасности AWS.

Испытание безопасности:

  • должно быть ограничено сервисами, полосой пропускания, количеством запросов в минуту и типом инстансов;
  • должно регламентироваться пользовательским соглашением об использовании Amazon Web Services между вами и AWS;
  • должно проводится в соответствии с политикой AWS в отношении использования инструментов и сервисов оценки безопасности, включенных в следующий подраздел.

Сведения о любых найденных уязвимостях и других проблемах, которые являются прямым результатом работы инструментов или сервисов AWS, должны быть направлены в отдел безопасности AWS в течение 24 часов с момента завершения испытания.

Политика AWS в отношении использования инструментов и сервисов оценки безопасности

Политика AWS в отношении использования инструментов и сервисов оценки безопасности допускает значительную гибкость при проведении оценок безопасности ресурсов AWS, одновременно защищая других пользователей и гарантируя стабильное качество обслуживания в пределах AWS.

AWS понимает, что существует большое многообразие публичных, частных, коммерческих инструментов и сервисов, пригодных для проведения оценки безопасности ресурсов AWS, а также инструментов и сервисов с открытым исходным кодом. Термин «оценка безопасности» включает в себя любые действия, предпринимаемые для определения наличия и эффективности мер безопасности в отношении ресурсов AWS, например сканирование портов, сканирование / проверки на предмет уязвимости, проверки уязвимостей, проверки на подверженность эксплойтам, сканирование интернет‑приложениями, а также любые формы внедрения кода, подделок или отвлекающих действий, проводимых удаленно, среди / между принадлежащих клиенту ресурсов AWS, а также локально в пределах виртуализированных ресурсов.

Мы НЕ ограничиваем клиентов в выборе инструментов или сервисов для оценки безопасности используемых ресурсов AWS. При этом ЗАПРЕЩАЕТСЯ использовать какие‑либо инструменты или сервисы для выполнения атак типа «отказ в обслуживании» (DoS) или имитировать их по отношению к ЛЮБЫМ ресурсам AWS, как собственным, так и принадлежащим другим клиентам. Клиенты, желающие провести тестирование путем моделирования DDoS-атак, должны ознакомиться с нашей политикой тестирования путем моделирования DDoS-атак.

Инструмент обеспечения безопасности, выполняющий удаленный запрос к используемому ресурсу AWS для определения имени и версии программного обеспечения и последующего их сравнения со списком версий, известных своей уязвимостью к DoS‑атакам (например, banner grabbing), НЕ нарушает эту политику.

Аналогичным образом инструмент или сервис обеспечения безопасности, который аварийно завершает работающий процесс на используемом ресурсе AWS (временно или иным образом), если это необходимо для удаленного или локального использования в рамках оценки безопасности, НЕ нарушает эту политику. Однако такие инструменты НЕЛЬЗЯ использовать для флудинга запросами по определенному протоколу или флудинга запросами на выделение ресурса, как было упомянуто выше.
Инструменты или сервисы обеспечения безопасности, создающие, определяющие существование или демонстрирующие условия для реального выполнения атак типа DoS или их моделирования ЛЮБЫМ другим способом, категорически запрещены.

Некоторые инструменты или сервисы включают в себя скрытые / встроенные возможности для выполнения описанных атак типа DoS при использовании ненадлежащим образом. Кроме того, они могут быть оформлены в виде явного теста, проверки или иной возможности этого инструмента или сервиса. Любой инструмент или сервис обеспечения безопасности, который может использоваться для выполнения атак типа DoS, должен иметь явную возможность ОТКЛЮЧИТЬ, СБРОСИТЬ или иным образом ОБЕЗВРЕДИТЬ такую возможность. В противном случае этот инструмент или сервис ЗАПРЕЩАЕТСЯ использовать для проведения ЛЮБЫХ оценок безопасности.

Клиент AWS несет единоличную ответственность за (1) обеспечение правильной настройки инструментов и сервисов, используемых для оценки безопасности, и обеспечение успешной их работы, не допускающей выполнения или моделирования атак типа DoS, и (2) выполнение независимой проверки используемых инструментов и сервисов на предмет невыполнения атак типа DoS или их моделирования ПЕРЕД проведением оценки безопасности каких‑либо ресурсов AWS. Клиент AWS также несет ответственность за обеспечение надлежащего проведения оценки безопасности с соблюдением положений данной политики сторонними подрядчиками.

Кроме того, ответственность за любой ущерб, причиненный AWS или другим клиентам AWS в результате действий клиента по тестированию или оценке безопасности, также несет сам клиент.

Связаться с представителем AWS
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере обеспечения безопасности?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости по безопасности AWS?
Следите за новостями в Twitter »