การทดสอบการเจาะข้อมูล

ทดสอบสภาพแวดล้อมของ AWS กับมาตรฐานการรักษาความปลอดภัยที่กำหนด

นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล

ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการ 8 ประเภทที่อยู่ในส่วนถัดไปใน “บริการที่อนุญาต”

โปรดตรวจสอบว่ากิจกรรมเหล่านี้สอดคล้องกับนโยบายที่กำหนดไว้ด้านล่าง หมายเหตุ: ไม่อนุญาตให้ลูกค้าทำการประเมินความปลอดภัยของโครงสร้างพื้นฐานของ AWS หรือบริการของ AWS ด้วยตนเอง หากพบปัญหาด้านความปลอดภัยภายในบริการของ AWS ในระหว่างการประเมินความปลอดภัยของคุณ โปรดติดต่อศูนย์ความปลอดภัยของ AWS ทันที

หาก AWS ได้รับรายงานการละเมิดเกี่ยวกับกิจกรรมที่เกี่ยวข้องกับการทดสอบความปลอดภัยของคุณ เราจะส่งต่อให้คุณ เมื่อตอบกลับ โปรดระบุสาเหตุหลักของกิจกรรมที่รายงาน และรายละเอียดสิ่งที่คุณทำเพื่อป้องกันไม่ให้ปัญหาที่รายงานเกิดขึ้นซ้ำ เรียนรู้เพิ่มเติมที่นี่

ผู้ค้าปลีกของบริการของ AWS มีหน้าที่รับผิดชอบกิจกรรมการทดสอบความปลอดภัยของลูกค้า

นโยบายการบริการลูกค้าสำหรับการทดสอบการเจาะข้อมูล

บริการที่ได้รับอนุญาต

  • Amazon EC2 instance, NAT Gateway และ Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda และฟังก์ชัน Lambda Edge
  • ทรัพยากร Amazon Lightsail
  • สภาพแวดล้อม Amazon Elastic Beanstalk

กิจกรรมต้องห้าม

  • DNS Zone Walking ผ่าน Amazon Route 53 Hosted Zone
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
  • การกระจายพอร์ต
  • การกระจายโปรโตคอล
  • การกระจายคำขอ (การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)

เหตุการณ์จำลองอื่นๆ

การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ

AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ โปรดส่งอีเมลถึงเราโดยตรงที่ aws-security-simulated-event@amazon.com โปรดอย่าลืมระบุวันที่ บัญชีที่เกี่ยวข้อง แอสเซทที่เกี่ยวข้อง และข้อมูลการติดต่อ รวมถึงหมายเลขโทรศัพท์ และคำอธิบายโดยละเอียดถึงเหตุการณ์ที่วางแผนไว้ ควรทราบว่าจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 2 วันทำการ ซึ่งยืนยันว่าเราได้รับคำขอจากคุณแล้ว

หลังจากที่ตรวจทานข้อมูลที่คุณส่งมาพร้อมคำขอแล้ว เราจะส่งต่อไปยังทีมงานที่เหมาะสมเพื่อประเมินต่อไป ด้วยลักษณะตามปกติของคำขอเหล่านี้ การส่งคำขอแต่ละรายการจะได้รับการตรวจทานจากเจ้าหน้าที่และคำตอบอาจใช้เวลาสูงสุดถึง 7 วัน การตัดสินใจขั้นสุดท้ายอาจใช้เวลานานกว่านี้ โดยขึ้นอยู่กับว่าจำเป็นต้องมีข้อมูลเพิ่มเติมเพื่อให้การประเมินของเราเสร็จสิ้นหรือไม่

ข้อสรุปการทดสอบ

คุณไม่จำเป็นต้องดำเนินการใดๆ หลังจากที่คุณได้รับอนุมัติจากเรา คุณสามารถดำเนินการทดสอบของคุณตลอดช่วงระยะเวลาที่คุณระบุได้ 

การทดสอบความแข็งแกร่งของเครือข่าย

ลูกค้าที่ต้องการดำเนินการทดสอบความแข็งแกร่งของเครือข่ายควรตรวจสอบนโยบายการทดสอบความแข็งแกร่งของเรา ลูกค้าที่ต้องการการจำลอง DDoS จะได้รับการสนับสนุนผ่านผู้จัดจำหน่ายที่รอการอนุมัติตามที่ระบุไว้ด้านล่าง โปรดเปลี่ยนเส้นทางคำขอตามความเหมาะสม

  • การรักษาความปลอดภัยของ Red Wolf
  • NCC Group
  • AWS ProServ

ข้อกำหนดและเงื่อนไข

การทดสอบความปลอดภัยทั้งหมดจะต้องเป็นไปตามข้อกำหนดและเงื่อนไขการทดสอบความปลอดภัยของ AWS เหล่านี้

การทดสอบการรักษาความปลอดภัย:

  • จะจำกัดเฉพาะบริการ แบนด์วิดท์เครือข่าย คำขอต่อนาที และประเภทอินสแตนซ์
  • เป็นไปตามข้อตกลงของลูกค้า Amazon Web Services ระหว่างคุณและ AWS
  • จะปฏิบัติตามนโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย ซึ่งระบุไว้ด้านล่าง

การค้นพบช่องโหว่หรือปัญหาอื่นๆ ที่เป็นผลโดยตรงจากเครื่องมือหรือบริการของ AWS จะต้องแจ้งไปยังฝ่ายการรักษาความปลอดภัยของ AWS ภายใน 24 ชั่วโมงหลังจากเสร็จสิ้นการทดสอบ

นโยบายของ AWS ที่เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย

นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัยช่วยให้มีความยืดหยุ่นอย่างมากในการดำเนินการประเมินความปลอดภัยของแอสเซท AWS ของคุณในขณะที่ปกป้องลูกค้า AWS รายอื่น และสร้างความมั่นใจในคุณภาพการบริการทั่วทั้ง AWS

AWS เข้าใจดีว่ามีเครื่องมือและบริการสาธารณะ ภาคเอกชน เชิงพาณิชย์ และ/หรือโอเพนซอร์สที่หลากหลายให้เลือกเพื่อวัตถุประสงค์ในการประเมินความปลอดภัยของแอสเซท AWS ของคุณ คำว่า “การประเมินความปลอดภัย” หมายถึงกิจกรรมทั้งหมดที่กระทำเพื่อวัตถุประสงค์ในการกำหนดประสิทธิภาพหรือการดำรงอยู่ของการควบคุมความปลอดภัยในแอสเซท AWS ของคุณ เช่น การสแกนพอร์ต การสแกน/การตรวจสอบช่องโหว่ การทดสอบการเจาะข้อมูล การแสวงหาประโยชน์ การสแกนเว็บแอปพลิเคชัน รวมถึงกิจกรรมการฉีด การปลอมแปลง หรือการทำให้คลุมเครือ ไม่ว่าจะดำเนินการกับแอสเซท AWS ของคุณจากระยะไกล ท่ามกลาง/ระหว่างแอสเซท AWS ของคุณ หรือภายในแอสเซทเสมือนจริงเอง

คุณไม่ได้ถูกจำกัดในการเลือกเครื่องมือหรือบริการเพื่อทำการประเมินความปลอดภัยของแอสเซท AWS ของคุณ อย่างไรก็ตาม เราไม่อนุญาตให้คุณใช้เครื่องมือหรือบริการใดๆ ในลักษณะที่เป็นการโจมตีแบบ Denial-of-Service (DoS) หรือการจำลองสถานการณ์เช่นนั้นกับแอสเซท AWS ไม่ว่าจะเป็นของคุณหรือของผู้อื่น กิจกรรมต้องห้ามรวมถึง แต่ไม่จำกัดเพียง:

  • การกระจายโปรโตคอล (เช่น การกระจาย SYN, การกระจาย ICMP, การกระจาย UDP)
  • การกระจายคำขอทรัพยากร (เช่น การกระจายคำขอ HTTP, การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)

เครื่องมือรักษาความปลอดภัยที่ดำเนินการสอบถามระยะไกลของแอสเซท AWS ของคุณเพื่อตรวจสอบชื่อและรุ่นซอฟต์แวร์ เช่น “Banner Grabbing” เพื่อจุดประสงค์ในการเปรียบเทียบกับรายการรุ่นที่ทราบว่ามีช่องโหว่ต่อ DoS ไม่ถือว่าเป็นการละเมิดนโยบายนี้

นอกจากนี้ เครื่องมือหรือบริการรักษาความปลอดภัยที่ทำให้กระบวนการทำงานบนแอสเซท AWS ของคุณขัดข้องเพียงชั่วคราวหรือถาวร เนื่องจากจำเป็นสำหรับการใช้ประโยชน์จากระยะไกลหรือในพื้นที่ซึ่งเป็นส่วนหนึ่งของการประเมินความปลอดภัย ไม่ถือว่าเป็นการละเมิดนโยบายนี้ อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถทำการกระจายโปรโตคอลหรือการกระจายคำขอทรัพยากรได้ตามที่กล่าวไว้ข้างต้น
เครื่องมือหรือบริการรักษาความปลอดภัยที่สร้าง กำหนดการมีอยู่ของ หรือแสดงให้เห็นถึงเงื่อนไขของ DoS ในลักษณะอื่น ไม่ว่าจะจริงหรือจำลองถือเป็นสิ่งต้องห้ามอย่างชัดเจน

เครื่องมือหรือบริการบางอย่างมีความสามารถของ DoS จริงตามที่อธิบายไว้ ไม่ว่าจะเป็นโดยลักลอบ/โดยเนื้อแท้ หากใช้อย่างไม่เหมาะสมหรือใช้เป็นการทดสอบ/การตรวจสอบ หรือใช้เป็นคุณสมบัติของเครื่องมือหรือบริการอย่างชัดเจน เครื่องมือหรือบริการรักษาความปลอดภัยใดที่มีความสามารถ DoS ดังกล่าว จะต้องมีความสามารถที่ชัดเจนในการปิดใช้งาน ปลด หรือทำให้ความสามารถ DoS นั้นไม่เป็นอันตราย มิฉะนั้นจะไม่สามารถใช้เครื่องมือหรือบริการดังกล่าวเพื่อการประเมินความปลอดภัยในทุกๆ ด้าน

ซึ่งเป็นความรับผิดชอบของลูกค้า AWS แต่เพียงผู้เดียวที่จะ (1) ตรวจสอบว่าเครื่องมือและบริการที่ใช้ดำเนินการประเมินความปลอดภัยได้รับการกำหนดค่าอย่างเหมาะสม และทำงานเป็นผลสำเร็จในลักษณะที่ไม่เป็นการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้น และ (2) ตรวจสอบเองว่าเครื่องมือหรือบริการที่ใช้ไม่ได้ทำการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้นก่อนที่จะทำการประเมินความปลอดภัยของแอสเซทใดๆ ของ AWS ความรับผิดชอบของลูกค้า AWS นี้รวมถึงการตรวจสอบว่าบุคคลที่สามที่ทำสัญญาดำเนินการประเมินความปลอดภัยในลักษณะที่ไม่ละเมิดนโยบายนี้

นอกจากนี้ คุณต้องรับผิดชอบต่อความเสียหายต่อ AWS หรือลูกค้าของ AWS รายอื่นอันเกิดมาจากกิจกรรมการทดสอบหรือการประเมินความปลอดภัยของคุณ

ติดต่อตัวแทนธุรกิจของ AWS
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านความปลอดภัยใช่หรือไม่
สมัครวันนี้ »
ต้องการอัปเดตการรักษาความปลอดภัยของ AWS ใช่หรือไม่
ติดตามเราบน Twitter »