การทดสอบการเจาะข้อมูล
นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล
ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการ 8 ประเภทที่อยู่ในส่วนถัดไปใน “บริการที่อนุญาต”
โปรดตรวจสอบว่ากิจกรรมเหล่านี้สอดคล้องกับนโยบายที่กำหนดไว้ด้านล่าง หมายเหตุ: ไม่อนุญาตให้ลูกค้าทำการประเมินความปลอดภัยของโครงสร้างพื้นฐานของ AWS หรือบริการของ AWS ด้วยตนเอง หากพบปัญหาด้านความปลอดภัยภายในบริการของ AWS ในระหว่างการประเมินความปลอดภัยของคุณ โปรดติดต่อศูนย์ความปลอดภัยของ AWS ทันที
หาก AWS ได้รับรายงานการละเมิดเกี่ยวกับกิจกรรมที่เกี่ยวข้องกับการทดสอบความปลอดภัยของคุณ เราจะส่งต่อให้คุณ เมื่อตอบกลับ โปรดระบุสาเหตุหลักของกิจกรรมที่รายงาน และรายละเอียดสิ่งที่คุณทำเพื่อป้องกันไม่ให้ปัญหาที่รายงานเกิดขึ้นซ้ำ เรียนรู้เพิ่มเติมที่นี่
ผู้ค้าปลีกของบริการของ AWS มีหน้าที่รับผิดชอบกิจกรรมการทดสอบความปลอดภัยของลูกค้า
นโยบายการบริการลูกค้าสำหรับการทดสอบการเจาะข้อมูล
บริการที่ได้รับอนุญาต
- Amazon EC2 instance, NAT Gateway และ Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS Lambda และฟังก์ชัน Lambda Edge
- ทรัพยากร Amazon Lightsail
- สภาพแวดล้อม Amazon Elastic Beanstalk
กิจกรรมต้องห้าม
- DNS Zone Walking ผ่าน Amazon Route 53 Hosted Zone
- การโจมตีแบบ Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS (การโจมตีเหล่านี้อยู่ภายใต้ นโยบายการทดสอบการจำลอง DDoS)
- การกระจายพอร์ต
- การกระจายโปรโตคอล
- การกระจายคำขอ (การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)
เหตุการณ์จำลองอื่นๆ
การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ
AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ โปรดส่งแบบฟอร์มเหตุการณ์จำลองเพื่อติดต่อเราโดยตรง (สำหรับลูกค้าที่ปฏิบัติงานในรีเจี้ยนจีนของ AWS (หนิงเซี่ยและปักกิ่ง) โปรดใช้แบบฟอร์มเหตุการณ์จำลองนี้)
โปรดอย่าลืมระบุวันที่ บัญชีที่เกี่ยวข้อง แอสเซทที่เกี่ยวข้อง และข้อมูลการติดต่อ รวมถึงหมายเลขโทรศัพท์ และคำอธิบายโดยละเอียดถึงเหตุการณ์ที่วางแผนไว้ คุณควรคาดหวังว่าจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 2 วันทำการ โดยเป็นการยืนยันว่าเราได้รับคำขอจากคุณแล้ว
ข้อสรุปการทดสอบ
คุณไม่จำเป็นต้องดำเนินการใดๆ หลังจากที่คุณได้รับอนุมัติจากเรา คุณสามารถดำเนินการทดสอบของคุณตลอดช่วงระยะเวลาที่คุณระบุได้
การทดสอบความแข็งแกร่งของเครือข่าย
ลูกค้าที่ต้องการดำเนินการทดสอบความแข็งแกร่งของเครือข่ายควรตรวจสอบนโยบายการทดสอบความแข็งแกร่งของเรา
การทดสอบการจำลอง DDoS
ลูกค้าที่ต้องการดำเนินการทดสอบการจำลอง DDoS ควรตรวจสอบนโยบายการทดสอบการจำลอง DDoS
ข้อกำหนดและเงื่อนไข
การทดสอบความปลอดภัยทั้งหมดจะต้องเป็นไปตามข้อกำหนดและเงื่อนไขการทดสอบความปลอดภัยของ AWS เหล่านี้
การทดสอบการรักษาความปลอดภัย:
- จะจำกัดเฉพาะบริการ แบนด์วิดท์เครือข่าย คำขอต่อนาที และประเภทอินสแตนซ์
- เป็นไปตามข้อตกลงของลูกค้า Amazon Web Services ระหว่างคุณและ AWS
- จะปฏิบัติตามนโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย ซึ่งระบุไว้ด้านล่าง
การค้นพบช่องโหว่หรือปัญหาอื่นๆ ที่เป็นผลโดยตรงจากเครื่องมือหรือบริการของ AWS จะต้องแจ้งไปยังฝ่ายการรักษาความปลอดภัยของ AWS ภายใน 24 ชั่วโมงหลังจากเสร็จสิ้นการทดสอบ
นโยบายของ AWS ที่เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย
นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัยช่วยให้มีความยืดหยุ่นอย่างมากในการดำเนินการประเมินความปลอดภัยของแอสเซท AWS ของคุณในขณะที่ปกป้องลูกค้า AWS รายอื่น และสร้างความมั่นใจในคุณภาพการบริการทั่วทั้ง AWS
AWS เข้าใจดีว่ามีเครื่องมือและบริการสาธารณะ ภาคเอกชน เชิงพาณิชย์ และ/หรือโอเพนซอร์สที่หลากหลายให้เลือกเพื่อวัตถุประสงค์ในการประเมินความปลอดภัยของแอสเซท AWS ของคุณ คำว่า “การประเมินความปลอดภัย” หมายถึงกิจกรรมทั้งหมดที่กระทำเพื่อวัตถุประสงค์ในการกำหนดประสิทธิภาพหรือการดำรงอยู่ของการควบคุมความปลอดภัยในแอสเซท AWS ของคุณ เช่น การสแกนพอร์ต การสแกน/การตรวจสอบช่องโหว่ การทดสอบการเจาะข้อมูล การแสวงหาประโยชน์ การสแกนเว็บแอปพลิเคชัน รวมถึงกิจกรรมการฉีด การปลอมแปลง หรือการทำให้คลุมเครือ ไม่ว่าจะดำเนินการกับแอสเซท AWS ของคุณจากระยะไกล ท่ามกลาง/ระหว่างแอสเซท AWS ของคุณ หรือภายในแอสเซทเสมือนจริงเอง
คุณไม่ได้ถูกจำกัดในการเลือกเครื่องมือหรือบริการเพื่อทำการประเมินความปลอดภัยของแอสเซท AWS ของคุณ อย่างไรก็ตาม เราไม่อนุญาตให้คุณใช้เครื่องมือหรือบริการใดๆ ในลักษณะที่เป็นการโจมตีแบบ Denial-of-Service (DoS) หรือการจำลองสถานการณ์เช่นนั้นกับแอสเซท AWS ไม่ว่าจะเป็นของคุณหรือของผู้อื่น ลูกค้าที่ต้องการดำเนินการทดสอบการจำลอง DDoS ควรตรวจสอบนโยบายการทดสอบการจำลอง DDoS
เครื่องมือรักษาความปลอดภัยที่ดำเนินการสอบถามระยะไกลของแอสเซท AWS ของคุณเพื่อตรวจสอบชื่อและรุ่นซอฟต์แวร์ เช่น “Banner Grabbing” เพื่อจุดประสงค์ในการเปรียบเทียบกับรายการรุ่นที่ทราบว่ามีช่องโหว่ต่อ DoS ไม่ถือว่าเป็นการละเมิดนโยบายนี้
นอกจากนี้ เครื่องมือหรือบริการรักษาความปลอดภัยที่ทำให้กระบวนการทำงานบนแอสเซท AWS ของคุณขัดข้องเพียงชั่วคราวหรือถาวร เนื่องจากจำเป็นสำหรับการใช้ประโยชน์จากระยะไกลหรือในพื้นที่ซึ่งเป็นส่วนหนึ่งของการประเมินความปลอดภัย ไม่ถือว่าเป็นการละเมิดนโยบายนี้ อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถทำการกระจายโปรโตคอลหรือการกระจายคำขอทรัพยากรได้ตามที่กล่าวไว้ข้างต้น
เครื่องมือหรือบริการรักษาความปลอดภัยที่สร้าง กำหนดการมีอยู่ของ หรือแสดงให้เห็นถึงเงื่อนไขของ DoS ในลักษณะอื่น ไม่ว่าจะจริงหรือจำลองถือเป็นสิ่งต้องห้ามอย่างชัดเจน
เครื่องมือหรือบริการบางอย่างมีความสามารถของ DoS จริงตามที่อธิบายไว้ ไม่ว่าจะเป็นโดยลักลอบ/โดยเนื้อแท้ หากใช้อย่างไม่เหมาะสมหรือใช้เป็นการทดสอบ/การตรวจสอบ หรือใช้เป็นคุณสมบัติของเครื่องมือหรือบริการอย่างชัดเจน เครื่องมือหรือบริการรักษาความปลอดภัยใดที่มีความสามารถ DoS ดังกล่าว จะต้องมีความสามารถที่ชัดเจนในการปิดใช้งาน ปลด หรือทำให้ความสามารถ DoS นั้นไม่เป็นอันตราย มิฉะนั้นจะไม่สามารถใช้เครื่องมือหรือบริการดังกล่าวเพื่อการประเมินความปลอดภัยในทุกๆ ด้าน
ซึ่งเป็นความรับผิดชอบของลูกค้า AWS แต่เพียงผู้เดียวที่จะ (1) ตรวจสอบว่าเครื่องมือและบริการที่ใช้ดำเนินการประเมินความปลอดภัยได้รับการกำหนดค่าอย่างเหมาะสม และทำงานเป็นผลสำเร็จในลักษณะที่ไม่เป็นการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้น และ (2) ตรวจสอบเองว่าเครื่องมือหรือบริการที่ใช้ไม่ได้ทำการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้นก่อนที่จะทำการประเมินความปลอดภัยของแอสเซทใดๆ ของ AWS ความรับผิดชอบของลูกค้า AWS นี้รวมถึงการตรวจสอบว่าบุคคลที่สามที่ทำสัญญาดำเนินการประเมินความปลอดภัยในลักษณะที่ไม่ละเมิดนโยบายนี้
นอกจากนี้ คุณต้องรับผิดชอบต่อความเสียหายต่อ AWS หรือลูกค้าของ AWS รายอื่นอันเกิดมาจากกิจกรรมการทดสอบหรือการประเมินความปลอดภัยของคุณ