การรายงานช่องโหว่ด้านความปลอดภัย
Amazon Web Services เห็นความสำคัญของการรักษาความปลอดภัยอย่างจริงจัง และสืบสวนช่องโหว่ที่มีการรายงานทั้งหมด หน้านี้จะอธิบายถึงวิธีปฏิบัติของเราในการจัดการช่องโหว่ที่อาจเกิดขึ้นในแง่มุมต่างๆ ของบริการระบบคลาวด์
การรายงานช่องโหว่ที่น่าสงสัย
- Amazon Web Services (AWS): หากคุณต้องการรายงานช่องโหว่หรือมีข้อกังวลด้านความปลอดภัยเกี่ยวกับ AWS Cloud Services หรือโปรเจกต์โอเพนซอร์ส โปรดส่งข้อมูลโดยติดต่อ aws-security@amazon.com หากคุณต้องการปกป้องเนื้อหาที่คุณส่งมา คุณสามารถใช้คีย์ PGP ของเราได้
- นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล: ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบโครงสร้างพื้นฐานของ AWS ของตนได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการที่ระบุ การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ ควรส่งคำขอผ่าน แบบฟอร์มเหตุการณ์จำลอง สำหรับลูกค้าที่ปฏิบัติงานใน รีเจี้ยน AWS จีน (หนิงเซี่ยและปักกิ่ง) โปรดใช้ แบบฟอร์มเหตุการณ์จำลองนี้
- AWS Abuse: หากคุณสงสัยว่ามีการใช้งานทรัพยากร AWS (เช่น EC2 instance หรือบัคเก็ต S3) เพื่อกิจกรรมที่น่าสงสัย คุณสามารถรายงานให้ทีม AWS Abuse ทราบได้โดยใช้แบบฟอร์มรายงานการใช้งาน Amazon AWS ที่ไม่เหมาะสม หรือติดต่อ abuse@amazonaws.com
- AWS Compliance Information: สามารถเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ผ่าน AWS Artifact หากคุณมีข้อสงสัยเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS โปรดติดต่อทีมงานผ่าน แบบฟอร์มรับข้อมูล
- Amazon.com (การค้าปลีก): หากคุณมีข้อกังวลด้านความปลอดภัยของ Amazon.com (การค้าปลีก), Seller Central, Amazon Payments หรือปัญหาอื่นๆ ที่เกี่ยวข้อง เช่น คำสั่งซื้อที่น่าสงสัย การชำระเงินด้วยบัตรเครดิตที่ไม่ถูกต้อง อีเมลที่น่าสงสัย หรือการรายงานช่องโหว่ โปรดไปที่เว็บเพจ การรักษาความปลอดภัยสำหรับการค้าปลีก ของเรา
เพื่อให้เราตอบสนองต่อรายงานของคุณได้อย่างมีประสิทธิภาพมากขึ้น โปรดแจ้งข้อมูลสนับสนุนทั้งหมด (โค้ดการพิสูจน์แนวคิด เอาต์พุตเครื่องมือ ฯลฯ) ที่จะเป็นประโยชน์และช่วยให้เราเข้าใจลักษณะและความรุนแรงของช่องโหว่ได้
ข้อมูลที่คุณแชร์กับ AWS ซึ่งเป็นส่วนหนึ่งของกระบวนการนี้จะถูกเก็บเป็นความลับภายใน AWS AWS จะแชร์ข้อมูลนี้กับบริษัทภายนอกก็ต่อเมื่อพบว่าช่องโหว่ที่คุณรายงานส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอกเท่านั้น ซึ่งในกรณีดังกล่าว เราจะแชร์ข้อมูลนี้กับผู้สร้างหรือผู้ผลิตของผลิตภัณฑ์ของบริษัทภายนอก มิฉะนั้นแล้ว AWS จะแชร์ข้อมูลนี้ตามที่คุณอนุญาตเท่านั้น
AWS จะตรวจสอบรายงานที่ส่งมาและกำหนดหมายเลขติดตามให้กับรายงาน จากนั้นเราจะตอบคุณโดยแจ้งว่าได้รับรายงานแล้ว และแสดงข้อมูลขั้นตอนถัดไปในกระบวนการ
SLA สำหรับการประเมินโดย AWS
AWS มุ่งมั่นที่จะตอบสนองและแจ้งข้อมูลให้คุณทราบอย่างสม่ำเสมอถึงความคืบหน้าขณะที่เราตรวจสอบและ/หรือจัดการกับข้อกังวลด้านความปลอดภัยที่คุณรายงานเข้ามา คุณจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 24 ชั่วโมง ซึ่งยืนยันว่าเราได้รับรายงานช่องโหว่จากคุณแล้ว คุณจะได้รับการอัปเดตความคืบหน้าจาก AWS อย่างน้อยทุกห้าวันทำการของสหรัฐฯ
การแจ้งต่อสาธารณะ
AWS จะประสานงานการแจ้งต่อสาธารณะเกี่ยวกับช่องโหว่ที่ยืนยันแล้วกับคุณ หากสามารถทำได้ เราต้องการให้มีการโพสต์เปิดเผยต่อสาธารณะดังกล่าวพร้อมกันหากเป็นไปได้
เพื่อปกป้องลูกค้าของเรา AWS ขอให้คุณไม่โพสต์หรือแชร์ข้อมูลใดๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในพื้นที่สาธารณะใดๆ จนกว่าเราจะค้นหา ตอบสนอง และจัดการช่องโหว่ที่ได้รับรายงานและแจ้งให้ลูกค้าทราบแล้วตามความจำเป็น นอกจากนี้ เรายังต้องขอด้วยความเคารพไม่ให้คุณโพสต์หรือแชร์ข้อมูลใดๆ ของลูกค้า การจัดการกับช่องโหว่ที่ได้รับรายงานและมีการยืนยันแล้วเป็นสิ่งที่ต้องใช้เวลา และไทม์ไลน์จะขึ้นอยู่กับความรุนแรงของช่องโหว่และระบบที่ได้รับผลกระทบ
AWS จะแจ้งต่อสาธารณะในรูปแบบของ กระดานข่าวด้านความปลอดภัย ซึ่งโพสต์ไว้ในเว็บไซต์ AWS Security โดยปกติ บุคคล บริษัท และทีมงานด้านความปลอดภัยจะโพสต์คำแนะนำของตนบนเว็บไซต์ของตนเองและในฟอรัมอื่นๆ เราจะระบุลิงก์ไปยังทรัพยากรของบุคคลภายนอกในกระดานข่าวด้านความปลอดภัยของ AWS เมื่อมีข้อมูลที่เกี่ยวข้อง
ข้อยกเว้นความรับผิด
AWS เชื่อว่าการวินิจฉัยด้านความปลอดภัยที่ดำเนินการด้วยความสุจริตควรได้รับข้อยกเว้นความรับผิด เราได้รับเอา ข้อกำหนดหลักของ Disclose.io มาใช้ภายใต้เงื่อนไขด้านล่างนี้ และเราตั้งตารอที่จะร่วมงานกับนักวิจัยด้านความปลอดภัยที่มีความมุ่งมั่นที่จะปกป้องลูกค้า AWS เช่นเดียวกับเรา
ขอบเขต
กิจกรรมต่อไปนี้อยู่นอกขอบเขตของโปรแกรมการรายงานช่องโหว่ของ AWS การดำเนินกิจกรรมใดๆ ด้านล่างนี้จะส่งผลให้ถูกตัดสิทธิ์จากโปรแกรมเป็นการถาวร
- การมุ่งเป้าไปที่สินทรัพย์ของลูกค้า AWS หรือเว็บไซต์ที่ไม่ใช่ของ AWS ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานของเรา
- ช่องโหว่ใดๆ ที่มาจากการเข้าถึงบัญชีของลูกค้าหรือพนักงาน AWS โดยไม่ได้รับอนุญาต
- การโจมตีโดยปฏิเสธการให้บริการ (DoS) ใดๆ ต่อผลิตภัณฑ์ของ AWS หรือลูกค้า AWS
- การโจมตีทางกายภาพต่อพนักงาน สำนักงาน และศูนย์ข้อมูลของ AWS
- การโจมตีแบบวิศวกรรมสังคมต่อพนักงาน ผู้รับจ้าง ผู้จำหน่าย หรือผู้ให้บริการของ AWS
- การโพสต์ การถ่ายทอด การอัปโหลด การลิงก์ไปยัง หรือการส่งมัลแวร์โดยรู้เท่าทัน
- การดำเนินการตามช่องโหว่ซึ่งส่งข้อความที่ไม่ได้ร้องขอเป็นจำนวนมาก (สแปม)
นโยบายการเปิดเผยข้อมูล
เมื่อส่งรายงานแล้ว AWS จะดำเนินการตรวจสอบช่องโหว่ที่ได้รับรายงาน หากจำเป็นต้องใช้ข้อมูลเพิ่มเติมเพื่อตรวจสอบหรือจำลองปัญหา AWS จะร่วมมือกับคุณเพื่อหาข้อมูลดังกล่าว เมื่อการตรวจสอบขั้นต้นเสร็จสมบูรณ์ จะมีการส่งผลลัพธ์ให้คุณพร้อมแผนการแก้ไขปัญหาและการปรึกษาหารือเกี่ยวกับการเปิดเผยต่อสาธารณะ
สิ่งที่ควรทราบเกี่ยวกับกระบวนการของ AWS มีดังนี้
- ผลิตภัณฑ์ของบริษัทภายนอก: ผู้จำหน่ายมากมายมีผลิตภัณฑ์อยู่ใน AWS Cloud หากมีการพบช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอก AWS จะแจ้งให้เจ้าของเทคโนโลยีที่ได้รับผลกระทบทราบ AWS จะยังคงประสานงานระหว่างคุณกับบริษัทภายนอกต่อไป จะไม่มีการเปิดเผยตัวตนของคุณให้บริษัทภายนอกทราบโดยไม่ได้รับอนุญาตจากคุณ
- การยืนยันการไม่มีช่องโหว่: หากไม่สามารถยืนยันปัญหา หรือพบว่าปัญหาไม่ได้เกิดขึ้นในผลิตภัณฑ์ของ AWS เราจะแจ้งผลลัพธ์นี้ให้คุณทราบ
- การจัดหมวดหมู่ของช่องโหว่: AWS ใช้ Common Vulnerability Scoring System (CVSS) เวอร์ชัน 3.1 เพื่อประเมินช่องโหว่ที่อาจเกิดขึ้น คะแนนผลลัพธ์จะแสดงความรุนแรงของปัญหาและจัดลำดับความสำคัญในการตอบสนองของเรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CVSS โปรดอ้างอิง เว็บไซต์ NVD