ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการ 8 ประเภท นโยบายข้อนี้มีผลบังคับในทันที

โปรดตรวจสอบว่ากิจกรรมเหล่านี้สอดคล้องกับนโยบายที่กำหนดไว้ด้านล่าง หมายเหตุ: ไม่อนุญาตให้ลูกค้าทำการประเมินความปลอดภัยของโครงสร้างพื้นฐานของ AWS หรือบริการของ AWS ด้วยตนเอง หากพบปัญหาด้านความปลอดภัยภายในบริการของ AWS ในระหว่างการประเมินความปลอดภัยของคุณ โปรดติดต่อศูนย์ความปลอดภัยของ AWS ทันที

การแสดงตัวอย่างแบบส่วนตัวและ NDA ขณะนี้เรากำลังใช้งานโปรแกรมตัวอย่างสำหรับการประเมินความปลอดภัยของบริการด้านล่าง ก่อนดำเนินการประเมินดังกล่าว โปรดติดต่อpen-test-nda@amazon.com เพื่อทำ NDA ให้สมบูรณ์:

o Amazon Cloudfront

บริการที่ได้รับอนุญาต คุณสามารถดำเนินการประเมินความปลอดภัยทรัพยากร AWS ที่คุณเป็นเจ้าของ หากทรัพยากรนั้นใช้บริการตามรายการด้านล่าง เรากำลังปรับปรุงรายการนี้อย่างต่อเนื่อง คลิกที่นี่เพื่อแสดงความคิดเห็น หรือขอให้รวมบริการเพิ่มเติมดังต่อไปนี้

o Amazon EC2 instances, NAT Gateways และ Elastic Load Balancers
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateways
o AWS Lambda และฟังก์ชัน Lambda Edge
o ทรัพยากร Amazon Lightsail
o สภาพแวดล้อม Amazon Elastic Beanstalk

กิจกรรมต้องห้าม กิจกรรมต่อไปนี้เป็นกิจกรรมต้องห้ามในขณะนี้

o DNS Zone Walking ผ่าน Amazon Route 53 Hosted Zones
o Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
o การกระจายพอร์ต
o การกระจายโปรโตคอล
o การกระจายคำขอ (การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)

รายงานการละเมิด หาก AWS ได้รับรายงานการละเมิดสำหรับกิจกรรมที่เกี่ยวข้องกับการทดสอบความปลอดภัยของคุณ เราจะส่งต่อให้คุณ คุณต้องตอบกลับรายงานเหล่านี้ภายใน 24 ชั่วโมงหลังจากได้รับแจ้ง เมื่อตอบกลับ โปรดระบุสาเหตุที่แท้จริงของกิจกรรมที่รายงาน และรายละเอียดสิ่งที่คุณทำเพื่อป้องกันไม่ให้ปัญหาที่รายงานเกิดขึ้นซ้ำ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับกระบวนการรายงานการละเมิดได้ที่นี่

ความรับผิดชอบของผู้ค้าปลีก ผู้ค้าปลีกของบริการ AWS มีหน้าที่รับผิดชอบกิจกรรมการทดสอบความปลอดภัยของลูกค้า

การทดสอบความปลอดภัยทั้งหมดจะต้องเป็นไปตามข้อกำหนดและเงื่อนไขการทดสอบความปลอดภัยของ AWS (ดูด้านล่าง)

เราต้องการให้การทดสอบความปลอดภัยของคุณเป็นประสบการณ์เชิงบวกที่รวบรวมหลักฐานอันเป็นความจริงที่คุณต้องการได้อย่างมีประสิทธิภาพ โดยไม่มีข้อผิดพลาดหรือการขัดจังหวะ ต่อไปนี้คือเคล็ดลับที่เป็นประโยชน์ซึ่งหากปฏิบัติตามจะช่วยปรับปรุงประสบการณ์นั้นๆ พร้อมกับเอื้อประโยชน์ต่อผู้ให้บริการของคุณ, AWS และลูกค้าของ AWS รายอื่นๆ

การจำกัดอัตรา โปรดจำกัดการสแกนของคุณไว้ที่ 1Gbps หรือ 10,000 RPS เพื่อให้การทดสอบของคุณเป็นผลสำเร็จ

ประเภทอินสแตนซ์ เราขอแนะนำให้ยกเว้นประเภทอินสแตนซ์ EC2 ต่อไปนี้จากการประเมินความปลอดภัยของคุณ เพื่อลดการหยุดชะงักที่อาจเกิดขึ้นกับสภาพแวดล้อมของคุณ

o T3.nano
o T2.nano
o T1.micro
o M1.small

การทดสอบที่อยู่ IP เนื่องจากลักษณะแบบไดนามิกของสภาพแวดล้อมระบบคลาวด์ ควรตรวจสอบที่อยู่ IP ทั้งหมดก่อนเริ่มต้นการทดสอบเพื่อยืนยันเจ้าของปัจจุบันของที่อยู่ IP

โปรดติดต่อ aws-security-simulated-event@amazon.com หากคุณมีคำถามใดๆ

การทดสอบความปลอดภัย (“การทดสอบ”):
(a) จะจำกัดเฉพาะบริการ แบนด์วิธเครือข่าย คำขอต่อนาที และประเภทอินสแตนซ์ที่ระบุไว้ในเว็บไซต์ของ AWS: 

https://aws.amazon.com/security/penetration-testing/

(b) อยู่ภายใต้ข้อกำหนดของข้อตกลงการบริการลูกค้าของ Amazon Web Services ระหว่างคุณกับ AWS (ดูได้ที่ http://aws.amazon.com/agreement/) (“ข้อตกลง”) และ

(c) จะปฏิบัติตามนโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย (รวมอยู่ด้านล่าง)

การค้นพบช่องโหว่หรือปัญหาอื่นๆ ที่เป็นผลโดยตรงจากเครื่องมือหรือบริการของ AWS จะต้องส่งไปยัง aws-security@amazon.com ภายใน 24 ชั่วโมงหลังจากเสร็จสิ้นการทดสอบ

นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัยช่วยให้มีความยืดหยุ่นอย่างมากในการดำเนินการประเมินความปลอดภัยของแอสเซท AWS ของคุณในขณะที่ปกป้องลูกค้า AWS รายอื่น และสร้างความมั่นใจในคุณภาพการบริการทั่วทั้ง AWS

AWS เข้าใจดีว่ามีเครื่องมือและบริการสาธารณะ ภาคเอกชน เชิงพาณิชย์ และ/หรือโอเพนซอร์สที่หลากหลายให้เลือกเพื่อวัตถุประสงค์ในการประเมินความปลอดภัยของแอสเซท AWS ของคุณ คำว่า “การประเมินความปลอดภัย” หมายถึงกิจกรรมทั้งหมดที่กระทำเพื่อวัตถุประสงค์ในการกำหนดประสิทธิภาพหรือการดำรงอยู่ของการควบคุมความปลอดภัยในแอสเซท AWS ของคุณ เช่น การสแกนพอร์ต การสแกน/การตรวจสอบช่องโหว่ การทดสอบการเจาะข้อมูล การแสวงหาประโยชน์ การสแกนเว็บแอปพลิเคชัน รวมถึงกิจกรรมการฉีด การปลอมแปลง หรือการทำให้คลุมเครือ ไม่ว่าจะดำเนินการกับแอสเซท AWS ของคุณจากระยะไกล ท่ามกลาง/ระหว่างแอสเซท AWS ของคุณ หรือภายในแอสเซทเสมือนจริงเอง

คุณไม่ได้ถูกจำกัดในการเลือกเครื่องมือหรือบริการเพื่อทำการประเมินความปลอดภัยของแอสเซท AWS ของคุณ อย่างไรก็ตาม เราไม่อนุญาตให้คุณใช้เครื่องมือหรือบริการใดๆ ในลักษณะที่เป็นการโจมตีแบบ Denial-of-Service (DoS) หรือการจำลองสถานการณ์เช่นนั้นกับแอสเซท AWS ไม่ว่าจะเป็นของคุณหรือของผู้อื่น กิจกรรมต้องห้ามรวมถึง แต่ไม่จำกัดแค่

• การกระจายโปรโตคอล (เช่น การกระจาย SYN, การกระจาย ICMP, การกระจาย UDP)
o การกระจายคำขอทรัพยากร (เช่น การกระจายคำขอ HTTP, การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)

เครื่องมือรักษาความปลอดภัยที่ดำเนินการสอบถามระยะไกลของแอสเซท AWS ของคุณเพื่อตรวจสอบชื่อและรุ่นซอฟต์แวร์ เช่น “การคว้าแบนเนอร์” เพื่อจุดประสงค์ในการเปรียบเทียบกับรายการรุ่นที่ทราบว่ามีช่องโหว่ต่อ DoS ไม่ถือว่าเป็นการละเมิดนโยบายนี้

นอกจากนี้ เครื่องมือหรือบริการรักษาความปลอดภัยที่ทำให้กระบวนการทำงานบนแอสเซท AWS ของคุณขัดข้องเพียงชั่วคราวหรือถาวร เนื่องจากจำเป็นสำหรับการใช้ประโยชน์จากระยะไกลหรือในพื้นที่ซึ่งเป็นส่วนหนึ่งของการประเมินความปลอดภัย ไม่ถือว่าเป็นการละเมิดนโยบายนี้ อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถทำการกระจายโปรโตคอลหรือการกระจายคำขอทรัพยากรได้ตามที่กล่าวไว้ข้างต้น

เครื่องมือหรือบริการรักษาความปลอดภัยที่สร้าง กำหนดการมีอยู่ของ หรือแสดงให้เห็นถึงเงื่อนไขของ DoS ในลักษณะอื่น ไม่ว่าจะจริงหรือจำลองถือเป็นสิ่งต้องห้ามอย่างชัดเจน

เครื่องมือหรือบริการบางอย่างมีความสามารถของ DoS จริงตามที่อธิบายไว้ ไม่ว่าจะเป็นโดยลักลอบ/โดยเนื้อแท้ หากใช้อย่างไม่เหมาะสมหรือใช้เป็นการทดสอบ/การตรวจสอบ หรือใช้เป็นคุณสมบัติของเครื่องมือหรือบริการอย่างชัดเจน เครื่องมือหรือบริการรักษาความปลอดภัยใดที่มีความสามารถ DoS ดังกล่าว จะต้องมีความสามารถที่ชัดเจนในการปิดใช้งาน ปลด หรือทำให้ความสามารถ DoS นั้นไม่เป็นอันตราย มิฉะนั้นจะไม่สามารถใช้เครื่องมือหรือบริการดังกล่าวเพื่อการประเมินความปลอดภัยในทุกๆ ด้าน

ซึ่งเป็นความรับผิดชอบของลูกค้า AWS แต่เพียงผู้เดียวที่จะ (1) ตรวจสอบว่าเครื่องมือและบริการที่ใช้ดำเนินการประเมินความปลอดภัยได้รับการกำหนดค่าอย่างเหมาะสม และทำงานเป็นผลสำเร็จในลักษณะที่ไม่เป็นการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้น และ (2) ตรวจสอบเองว่าเครื่องมือหรือบริการที่ใช้ไม่ได้ทำการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้นก่อนที่จะทำการประเมินความปลอดภัยของแอสเซทใดๆ ของ AWS ความรับผิดชอบของลูกค้า AWS นี้รวมถึงการตรวจสอบว่าบุคคลที่สามที่ทำสัญญาดำเนินการประเมินความปลอดภัยในลักษณะที่ไม่ละเมิดนโยบายนี้

นอกจากนี้ คุณต้องรับผิดชอบต่อความเสียหายต่อ AWS หรือลูกค้าของ AWS รายอื่นอันเกิดมาจากกิจกรรมการทดสอบหรือการประเมินความปลอดภัยของคุณ