การรายงานช่องโหว่ด้านความปลอดภัย

จัดการช่องโหว่ที่อาจเกิดขึ้นในแง่มุมต่างๆ ของบริการระบบคลาวด์

Amazon Web Services เห็นความสำคัญของการรักษาความปลอดภัยอย่างจริงจัง และสืบสวนช่องโหว่ที่มีการรายงานทั้งหมด หน้านี้จะอธิบายถึงวิธีปฏิบัติของเราในการจัดการช่องโหว่ที่อาจเกิดขึ้นในแง่มุมต่างๆ ของบริการระบบคลาวด์

การรายงานช่องโหว่ที่น่าสงสัย

  • Amazon Web Services (AWS): หากคุณต้องการรายงานช่องโหว่หรือมีข้อกังวลด้านความปลอดภัยเกี่ยวกับ AWS Cloud Services หรือโปรเจกต์โอเพนซอร์ส โปรดส่งอีเมลมาที่ aws-security@amazon.com หากคุณต้องการปกป้องอีเมลของตนเอง สามารถใช้ คีย์ PGP key ได้
  • นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล: ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ของตนได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับ บริการที่ระบุ การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ ควรส่งคำขอผ่าน แบบฟอร์มเหตุการณ์จำลอง สำหรับลูกค้าที่ปฏิบัติงานใน รีเจี้ยน AWS จีน (หนิงเซี่ยและปักกิ่ง) โปรดใช้ แบบฟอร์มเหตุการณ์จำลองนี้
  • AWS Abuse: หากคุณสงสัยว่ามีการใช้งานทรัพยากร AWS (เช่น EC2 instance หรือบัคเก็ต S3) เพื่อกิจกรรมที่น่าสงสัย คุณสามารถรายงานแก่ AWS Abuse Team ได้โดยใช้ แบบฟอร์มรายงานการใช้งาน Amazon AWS ที่ไม่เหมาะสม หรือโดยการติดต่อ abuse@amazonaws.com
  • AWS Compliance Information: สามารถเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ผ่าน AWS Artifact หากคุณมีข้อสงสัยเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS โปรดติดต่อทีมงานผ่าน แบบฟอร์มรับข้อมูล
  • Amazon.com (การค้าปลีก): หากคุณมีข้อกังวลด้านความปลอดภัยของ Amazon.com (การค้าปลีก), Seller Central, Amazon Payments หรือปัญหาอื่นๆ ที่เกี่ยวข้อง เช่น คำสั่งซื้อที่น่าสงสัย การชำระเงินด้วยบัตรเครดิตที่ไม่ถูกต้อง อีเมลที่น่าสงสัย หรือการรายงานช่องโหว่ โปรดไปที่เว็บเพจ การรักษาความปลอดภัยสำหรับการค้าปลีก ของเรา

เพื่อให้เราตอบสนองต่อรายงานของคุณได้อย่างมีประสิทธิภาพมากขึ้น โปรดแจ้งข้อมูลสนับสนุนทั้งหมด (โค้ดการพิสูจน์แนวคิด เอาต์พุตเครื่องมือ ฯลฯ) ที่จะเป็นประโยชน์และช่วยให้เราเข้าใจลักษณะและความรุนแรงของช่องโหว่ได้

ข้อมูลที่คุณแชร์กับ AWS ซึ่งเป็นส่วนหนึ่งของกระบวนการนี้จะถูกเก็บเป็นความลับภายใน AWS AWS จะแชร์ข้อมูลนี้กับบริษัทภายนอกก็ต่อเมื่อพบว่าช่องโหว่ที่คุณรายงานส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอกเท่านั้น ซึ่งในกรณีดังกล่าว เราจะแชร์ข้อมูลนี้กับผู้สร้างหรือผู้ผลิตของผลิตภัณฑ์ของบริษัทภายนอก มิฉะนั้นแล้ว AWS จะแชร์ข้อมูลนี้ตามที่คุณอนุญาตเท่านั้น

AWS จะตรวจสอบรายงานที่ส่งมาและกำหนดหมายเลขติดตามให้กับรายงาน จากนั้นเราจะตอบคุณโดยแจ้งว่าได้รับรายงานแล้ว และแสดงข้อมูลขั้นตอนถัดไปในกระบวนการ

SLA สำหรับการประเมินโดย AWS

AWS มุ่งมั่นที่จะตอบสนองและแจ้งข้อมูลให้คุณทราบอย่างสม่ำเสมอถึงความคืบหน้าขณะที่เราตรวจสอบและ/หรือจัดการกับข้อกังวลด้านความปลอดภัยที่คุณรายงานเข้ามา คุณจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 24 ชั่วโมง ซึ่งยืนยันว่าเราได้รับรายงานช่องโหว่จากคุณแล้ว คุณจะได้รับการอัปเดตความคืบหน้าจาก AWS อย่างน้อยทุกห้าวันทำการของสหรัฐฯ

การแจ้งต่อสาธารณะ

AWS จะประสานงานการแจ้งต่อสาธารณะเกี่ยวกับช่องโหว่ที่ยืนยันแล้วกับคุณ หากสามารถทำได้ เราต้องการให้มีการโพสต์เปิดเผยต่อสาธารณะดังกล่าวพร้อมกันหากเป็นไปได้

เพื่อปกป้องลูกค้าของเรา AWS ขอให้คุณไม่โพสต์หรือแชร์ข้อมูลใดๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในพื้นที่สาธารณะใดๆ จนกว่าเราจะค้นหา ตอบสนอง และจัดการช่องโหว่ที่ได้รับรายงานและแจ้งให้ลูกค้าทราบแล้วตามความจำเป็น นอกจากนี้ เรายังต้องขอด้วยความเคารพไม่ให้คุณโพสต์หรือแชร์ข้อมูลใดๆ ของลูกค้า การจัดการกับช่องโหว่ที่ได้รับรายงานและมีการยืนยันแล้วเป็นสิ่งที่ต้องใช้เวลา และไทม์ไลน์จะขึ้นอยู่กับความรุนแรงของช่องโหว่และระบบที่ได้รับผลกระทบ

AWS จะแจ้งต่อสาธารณะในรูปแบบของ กระดานข่าวด้านความปลอดภัย ซึ่งโพสต์ไว้ในเว็บไซต์ AWS Security โดยปกติ บุคคล บริษัท และทีมงานด้านความปลอดภัยจะโพสต์คำแนะนำของตนบนเว็บไซต์ของตนเองและในฟอรัมอื่นๆ เราจะระบุลิงก์ไปยังทรัพยากรของบุคคลภายนอกในกระดานข่าวด้านความปลอดภัยของ AWS เมื่อมีข้อมูลที่เกี่ยวข้อง  

ข้อยกเว้นความรับผิด

AWS เชื่อว่าการวินิจฉัยด้านความปลอดภัยที่ดำเนินการด้วยความสุจริตควรได้รับข้อยกเว้นความรับผิด เราได้รับเอา ข้อกำหนดหลักของ Disclose.io มาใช้ภายใต้เงื่อนไขด้านล่างนี้ และเราตั้งตารอที่จะร่วมงานกับนักวิจัยด้านความปลอดภัยที่มีความมุ่งมั่นที่จะปกป้องลูกค้า AWS เช่นเดียวกับเรา

ขอบเขต

กิจกรรมต่อไปนี้อยู่นอกขอบเขตของโปรแกรมการรายงานช่องโหว่ของ AWS การดำเนินกิจกรรมใดๆ ด้านล่างนี้จะส่งผลให้ถูกตัดสิทธิ์จากโปรแกรมเป็นการถาวร

  1. การมุ่งเป้าไปที่สินทรัพย์ของลูกค้า AWS หรือเว็บไซต์ที่ไม่ใช่ของ AWS ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานของเรา
  2. ช่องโหว่ใดๆ ที่มาจากการเข้าถึงบัญชีของลูกค้าหรือพนักงาน AWS โดยไม่ได้รับอนุญาต
  3. การโจมตีโดยปฏิเสธการให้บริการ (DoS) ใดๆ ต่อผลิตภัณฑ์ของ AWS หรือลูกค้า AWS
  4. การโจมตีทางกายภาพต่อพนักงาน สำนักงาน และศูนย์ข้อมูลของ AWS
  5. การโจมตีแบบวิศวกรรมสังคมต่อพนักงาน ผู้รับจ้าง ผู้จำหน่าย หรือผู้ให้บริการของ AWS
  6. การโพสต์ การถ่ายทอด การอัปโหลด การลิงก์ไปยัง หรือการส่งมัลแวร์โดยรู้เท่าทัน
  7. การดำเนินการตามช่องโหว่ซึ่งส่งข้อความที่ไม่ได้ร้องขอเป็นจำนวนมาก (สแปม)

นโยบายการเปิดเผยข้อมูล

เมื่อส่งรายงานแล้ว AWS จะดำเนินการตรวจสอบช่องโหว่ที่ได้รับรายงาน หากจำเป็นต้องใช้ข้อมูลเพิ่มเติมเพื่อตรวจสอบหรือจำลองปัญหา AWS จะร่วมมือกับคุณเพื่อหาข้อมูลดังกล่าว เมื่อการตรวจสอบขั้นต้นเสร็จสมบูรณ์ จะมีการส่งผลลัพธ์ให้คุณพร้อมแผนการแก้ไขปัญหาและการปรึกษาหารือเกี่ยวกับการเปิดเผยต่อสาธารณะ

สิ่งที่ควรทราบเกี่ยวกับกระบวนการของ AWS มีดังนี้

  1. ผลิตภัณฑ์ของบริษัทภายนอก: ผู้จำหน่ายมากมายมีผลิตภัณฑ์อยู่ใน AWS Cloud หากมีการพบช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอก AWS จะแจ้งให้เจ้าของเทคโนโลยีที่ได้รับผลกระทบทราบ AWS จะยังคงประสานงานระหว่างคุณกับบริษัทภายนอกต่อไป จะไม่มีการเปิดเผยตัวตนของคุณให้บริษัทภายนอกทราบโดยไม่ได้รับอนุญาตจากคุณ
  2. การยืนยันการไม่มีช่องโหว่: หากไม่สามารถยืนยันปัญหา หรือพบว่าปัญหาไม่ได้เกิดขึ้นในผลิตภัณฑ์ของ AWS เราจะแจ้งผลลัพธ์นี้ให้คุณทราบ
  3. การจัดหมวดหมู่ของช่องโหว่: AWS ใช้ Common Vulnerability Scoring System (CVSS) เวอร์ชัน 3.1 เพื่อประเมินช่องโหว่ที่อาจเกิดขึ้น คะแนนผลลัพธ์จะแสดงความรุนแรงของปัญหาและจัดลำดับความสำคัญในการตอบสนองของเรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CVSS โปรดอ้างอิง เว็บไซต์ NVD
ติดต่อตัวแทนธุรกิจของ AWS เลยวันนี้
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านความปลอดภัยใช่หรือไม่
สมัครวันนี้ »
ต้องการอัปเดตการรักษาความปลอดภัยของ AWS ใช่หรือไม่
ติดตามเราบน Twitter »