ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการ 8 ประเภท นโยบายข้อนี้มีผลบังคับในทันที
โปรดตรวจสอบว่ากิจกรรมเหล่านี้สอดคล้องกับนโยบายที่กำหนดไว้ด้านล่าง หมายเหตุ: ไม่อนุญาตให้ลูกค้าทำการประเมินความปลอดภัยของโครงสร้างพื้นฐานของ AWS หรือบริการของ AWS ด้วยตนเอง หากพบปัญหาด้านความปลอดภัยภายในบริการของ AWS ในระหว่างการประเมินความปลอดภัยของคุณ โปรดติดต่อศูนย์ความปลอดภัยของ AWS ทันที
การแสดงตัวอย่างแบบส่วนตัวและ NDA ขณะนี้เรากำลังใช้งานโปรแกรมตัวอย่างสำหรับการประเมินความปลอดภัยของบริการด้านล่าง ก่อนดำเนินการประเมินดังกล่าว โปรดติดต่อpen-test-nda@amazon.com เพื่อทำ NDA ให้สมบูรณ์:
- Amazon Cloudfront
บริการที่ได้รับอนุญาต – คุณสามารถดำเนินการประเมินความปลอดภัยทรัพยากร AWS ที่คุณเป็นเจ้าของได้ หากทรัพยากรนั้นใช้บริการตามรายการด้านล่าง เรากำลังปรับปรุงรายการนี้อย่างต่อเนื่อง คลิกที่นี่เพื่อแสดงความคิดเห็น หรือขอให้รวมบริการเพิ่มเติมดังต่อไปนี้:
- Amazon EC2 instance, NAT Gateway และ Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS Lambda และฟังก์ชัน Lambda Edge
- ทรัพยากร Amazon Lightsail
- สภาพแวดล้อม Amazon Elastic Beanstalk
กิจกรรมต้องห้าม – กิจกรรมต่อไปนี้เป็นกิจกรรมต้องห้ามในขณะนี้:
- DNS Zone Walking ผ่าน Amazon Route 53 Hosted Zone
- Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
- การกระจายพอร์ต
- การกระจายโปรโตคอล
- การกระจายคำขอ (การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)
รายงานการละเมิด – หาก AWS ได้รับรายงานการละเมิดเกี่ยวกับกิจกรรมที่เกี่ยวข้องกับการทดสอบความปลอดภัยของคุณ เราจะส่งต่อให้คุณ คุณต้องตอบกลับรายงานเหล่านี้ภายใน 24 ชั่วโมงหลังจากได้รับแจ้ง เมื่อตอบกลับ โปรดระบุสาเหตุที่แท้จริงของกิจกรรมที่รายงาน และรายละเอียดสิ่งที่คุณทำเพื่อป้องกันไม่ให้ปัญหาที่รายงานเกิดขึ้นซ้ำ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับกระบวนการรายงานการละเมิดได้ที่นี่
ความรับผิดชอบของผู้ค้าปลีก – ผู้ค้าปลีกของบริการของ AWS มีหน้าที่รับผิดชอบกิจกรรมการทดสอบความปลอดภัยของลูกค้า
การทดสอบความปลอดภัยทั้งหมดจะต้องเป็นไปตามข้อกำหนดและเงื่อนไขการทดสอบความปลอดภัยของ AWS (ดูด้านล่าง)
เราต้องการให้การทดสอบความปลอดภัยของคุณเป็นประสบการณ์เชิงบวกที่รวบรวมหลักฐานอันเป็นความจริงที่คุณต้องการได้อย่างมีประสิทธิภาพ โดยไม่มีข้อผิดพลาดหรือการขัดจังหวะ ต่อไปนี้คือเคล็ดลับที่เป็นประโยชน์ซึ่งหากปฏิบัติตามจะช่วยปรับปรุงประสบการณ์นั้นๆ พร้อมกับเอื้อประโยชน์ต่อผู้ให้บริการของคุณ, AWS และลูกค้าของ AWS รายอื่นๆ
การจำกัดอัตรา โปรดจำกัดการสแกนของคุณไว้ที่ 1Gbps หรือ 10,000 RPS เพื่อให้การทดสอบของคุณเป็นผลสำเร็จ
ประเภทอินสแตนซ์ – เราขอแนะนำให้ยกเว้นประเภทอินสแตนซ์ EC2 ต่อไปนี้จากการประเมินความปลอดภัยของคุณ เพื่อลดการหยุดชะงักที่อาจเกิดขึ้นกับสภาพแวดล้อมของคุณ
- T3.nano
- T2.nano
- T1.micro
- M1.small
การทดสอบที่อยู่ IP – เนื่องจากลักษณะแบบไดนามิกของสภาพแวดล้อมระบบคลาวด์ จึงควรตรวจสอบที่อยู่ IP ทั้งหมดก่อนเริ่มต้นการทดสอบเพื่อยืนยันเจ้าของปัจจุบันของที่อยู่ IP
โปรดติดต่อ aws-security-simulated-event@amazon.com หากคุณมีคำถามใดๆ
การทดสอบความปลอดภัย (“การทดสอบ”):
(a) จะจำกัดเฉพาะบริการ แบนด์วิธเครือข่าย คำขอต่อนาที และประเภทอินสแตนซ์ที่ระบุไว้ในเว็บไซต์ของ AWS:
https://aws.amazon.com/security/penetration-testing/
(b) อยู่ภายใต้ข้อกำหนดของข้อตกลงการบริการลูกค้าของ Amazon Web Services ระหว่างคุณกับ AWS (ดูได้ที่ http://aws.amazon.com/agreement/) (“ข้อตกลง”) และ
(c) จะปฏิบัติตามนโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย (รวมอยู่ด้านล่าง)
การค้นพบช่องโหว่หรือปัญหาอื่นๆ ที่เป็นผลโดยตรงจากเครื่องมือหรือบริการของ AWS จะต้องส่งไปยัง aws-security@amazon.com ภายใน 24 ชั่วโมงหลังจากเสร็จสิ้นการทดสอบ
นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัยช่วยให้มีความยืดหยุ่นอย่างมากในการดำเนินการประเมินความปลอดภัยของแอสเซท AWS ของคุณในขณะที่ปกป้องลูกค้า AWS รายอื่น และสร้างความมั่นใจในคุณภาพการบริการทั่วทั้ง AWS
AWS เข้าใจดีว่ามีเครื่องมือและบริการสาธารณะ ภาคเอกชน เชิงพาณิชย์ และ/หรือโอเพนซอร์สที่หลากหลายให้เลือกเพื่อวัตถุประสงค์ในการประเมินความปลอดภัยของแอสเซท AWS ของคุณ คำว่า “การประเมินความปลอดภัย” หมายถึงกิจกรรมทั้งหมดที่กระทำเพื่อวัตถุประสงค์ในการกำหนดประสิทธิภาพหรือการดำรงอยู่ของการควบคุมความปลอดภัยในแอสเซท AWS ของคุณ เช่น การสแกนพอร์ต การสแกน/การตรวจสอบช่องโหว่ การทดสอบการเจาะข้อมูล การแสวงหาประโยชน์ การสแกนเว็บแอปพลิเคชัน รวมถึงกิจกรรมการฉีด การปลอมแปลง หรือการทำให้คลุมเครือ ไม่ว่าจะดำเนินการกับแอสเซท AWS ของคุณจากระยะไกล ท่ามกลาง/ระหว่างแอสเซท AWS ของคุณ หรือภายในแอสเซทเสมือนจริงเอง
คุณไม่ได้ถูกจำกัดในการเลือกเครื่องมือหรือบริการเพื่อทำการประเมินความปลอดภัยของแอสเซท AWS ของคุณ อย่างไรก็ตาม เราไม่อนุญาตให้คุณใช้เครื่องมือหรือบริการใดๆ ในลักษณะที่เป็นการโจมตีแบบ Denial-of-Service (DoS) หรือการจำลองสถานการณ์เช่นนั้นกับแอสเซท AWS ไม่ว่าจะเป็นของคุณหรือของผู้อื่น กิจกรรมต้องห้ามรวมถึง แต่ไม่จำกัดเพียง:
- การกระจายโปรโตคอล (เช่น การกระจาย SYN, การกระจาย ICMP, การกระจาย UDP)
- การกระจายคำขอทรัพยากร (เช่น การกระจายคำขอ HTTP, การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)
เครื่องมือรักษาความปลอดภัยที่ดำเนินการสอบถามระยะไกลของแอสเซท AWS ของคุณเพื่อตรวจสอบชื่อและรุ่นซอฟต์แวร์ เช่น “การคว้าแบนเนอร์” เพื่อจุดประสงค์ในการเปรียบเทียบกับรายการรุ่นที่ทราบว่ามีช่องโหว่ต่อ DoS ไม่ถือว่าเป็นการละเมิดนโยบายนี้
นอกจากนี้ เครื่องมือหรือบริการรักษาความปลอดภัยที่ทำให้กระบวนการทำงานบนแอสเซท AWS ของคุณขัดข้องเพียงชั่วคราวหรือถาวร เนื่องจากจำเป็นสำหรับการใช้ประโยชน์จากระยะไกลหรือในพื้นที่ซึ่งเป็นส่วนหนึ่งของการประเมินความปลอดภัย ไม่ถือว่าเป็นการละเมิดนโยบายนี้ อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถทำการกระจายโปรโตคอลหรือการกระจายคำขอทรัพยากรได้ตามที่กล่าวไว้ข้างต้น
เครื่องมือหรือบริการรักษาความปลอดภัยที่สร้าง กำหนดการมีอยู่ของ หรือแสดงให้เห็นถึงเงื่อนไขของ DoS ในลักษณะอื่น ไม่ว่าจะจริงหรือจำลองถือเป็นสิ่งต้องห้ามอย่างชัดเจน
เครื่องมือหรือบริการบางอย่างมีความสามารถของ DoS จริงตามที่อธิบายไว้ ไม่ว่าจะเป็นโดยลักลอบ/โดยเนื้อแท้ หากใช้อย่างไม่เหมาะสมหรือใช้เป็นการทดสอบ/การตรวจสอบ หรือใช้เป็นคุณสมบัติของเครื่องมือหรือบริการอย่างชัดเจน เครื่องมือหรือบริการรักษาความปลอดภัยใดที่มีความสามารถ DoS ดังกล่าว จะต้องมีความสามารถที่ชัดเจนในการปิดใช้งาน ปลด หรือทำให้ความสามารถ DoS นั้นไม่เป็นอันตราย มิฉะนั้นจะไม่สามารถใช้เครื่องมือหรือบริการดังกล่าวเพื่อการประเมินความปลอดภัยในทุกๆ ด้าน
ซึ่งเป็นความรับผิดชอบของลูกค้า AWS แต่เพียงผู้เดียวที่จะ (1) ตรวจสอบว่าเครื่องมือและบริการที่ใช้ดำเนินการประเมินความปลอดภัยได้รับการกำหนดค่าอย่างเหมาะสม และทำงานเป็นผลสำเร็จในลักษณะที่ไม่เป็นการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้น และ (2) ตรวจสอบเองว่าเครื่องมือหรือบริการที่ใช้ไม่ได้ทำการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้นก่อนที่จะทำการประเมินความปลอดภัยของแอสเซทใดๆ ของ AWS ความรับผิดชอบของลูกค้า AWS นี้รวมถึงการตรวจสอบว่าบุคคลที่สามที่ทำสัญญาดำเนินการประเมินความปลอดภัยในลักษณะที่ไม่ละเมิดนโยบายนี้
นอกจากนี้ คุณต้องรับผิดชอบต่อความเสียหายต่อ AWS หรือลูกค้าของ AWS รายอื่นอันเกิดมาจากกิจกรรมการทดสอบหรือการประเมินความปลอดภัยของคุณ
AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเรา คุณควรคาดหวังว่าจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 2 วันทำการ โดยเป็นการยืนยันว่าเราได้รับคำขอจากคุณแล้ว
หลังจากที่เราตรวจทานข้อมูลที่คุณส่งมาพร้อมกับคำขอแล้ว เราจะส่งต่อไปยังทีมงานที่เหมาะสมเพื่อประเมินต่อไป ด้วยลักษณะตามปกติของคำขอเหล่านี้ การส่งคำขอแต่ละรายการจะได้รับการตรวจทานจากเจ้าหน้าที่และคำตอบอาจใช้เวลาสูงสุดถึง 7 วัน การตัดสินใจขั้นสุดท้ายอาจใช้เวลานานกว่านี้ โดยขึ้นอยู่กับว่าจำเป็นต้องมีข้อมูลเพิ่มเติมเพื่อให้การประเมินของเราเสร็จสิ้นหรือไม่
- วันการจำลองความปลอดภัยหรือวันเกมรักษาความปลอดภัย
- วันการจำลองการรองรับหรือวันเกมรองรับ
- การจำลองเกมสงคราม
- บัตรสีขาว
- การทดสอบทีมแดงและทีมน้ำเงิน
- การจำลองการกู้คืนข้อมูลหลังภัยพิบัติ
- เหตุการณ์จำลองอื่นๆ
โปรดส่งอีเมลถึงเราโดยตรงที่ aws-security-simulated-event@amazon.com เมื่อแจ้งเกี่ยวกับเหตุการณ์ของคุณ โปรดอย่าลืมระบุรายละเอียดเกี่ยวกับเหตุการณ์ รวมถึง:
- วันที่
- บัญชีที่เกี่ยวข้อง
- แอสเซทที่เกี่ยวข้อง
- ข้อมูลการติดต่อ รวมทั้งหมายเลขโทรศัพท์
- รายละเอียดของเหตุการณ์ที่วางแผนไว้
AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเรา คุณควรคาดหวังว่าจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 2 วันทำการ โดยเป็นการยืนยันว่าเราได้รับคำขอจากคุณแล้ว
หลังจากที่เราตรวจทานข้อมูลที่คุณส่งมาพร้อมกับคำขอแล้ว เราจะส่งต่อไปยังทีมงานที่เหมาะสมเพื่อประเมินต่อไป ด้วยลักษณะตามปกติของคำขอเหล่านี้ การส่งคำขอแต่ละรายการจะได้รับการตรวจทานจากเจ้าหน้าที่และคำตอบอาจใช้เวลาสูงสุดถึง 7 วัน การตัดสินใจขั้นสุดท้ายอาจใช้เวลานานกว่านี้ โดยขึ้นอยู่กับว่าจำเป็นต้องมีข้อมูลเพิ่มเติมเพื่อให้การประเมินของเราเสร็จสิ้นหรือไม่
คุณไม่จำเป็นต้องดำเนินการใดๆ หลังจากที่คุณได้รับอนุมัติจากเรา คุณสามารถดำเนินการทดสอบของคุณตลอดช่วงระยะเวลาที่คุณระบุได้
ลูกค้าที่ต้องการดำเนินการทดสอบความแข็งแกร่งของเครือข่ายควรตรวจสอบนโยบายการทดสอบความแข็งแกร่งของเรา
ลูกค้าที่ต้องการการจำลอง DDoS จะได้รับการสนับสนุนผ่านผู้จัดจำหน่ายที่รอการอนุมัติตามที่ระบุไว้ด้านล่าง โปรดเปลี่ยนเส้นทางคำขอตามความเหมาะสม
รายการที่อนุมัติในปัจจุบัน
ความปลอดภัยของผู้จัดจำหน่าย Red Wolf
NCC Group
