Sızma Testi

AWS ortamını tanımlı güvenlik standartlarına karşı test edin

Sızma Testi için AWS Müşteri Desteği Politikası

AWS müşterileri, bir sonraki bölümde yer alan “İzin Verilen Hizmetler” listesinde yer alan 8 hizmet için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilirler.

Lütfen bu çalışmaların aşağıda belirtilen politikaya uygun olmasına özen gösterin. Not: Müşterilerin AWS altyapısı veya AWS hizmetlerinin kendileriyle ilgili herhangi bir güvenlik değerlendirmesi yapmasına izin verilmez. Güvenlik değerlendirmeniz sırasında bir AWS hizmetinde güvenlik sorunuyla karşılaşırsanız lütfen hemen AWS Güvenlik birimine ulaşın.

AWS’nin Güvenlik testlerinizle ilgili bir kötüye kullanım bildirimi alması halinde size iletiriz. Yanıt verirken lütfen bildirilen etkinliğin temel nedenini belirtin ve ilgili sorunun tekrar gerçekleşmesini önlemek için attığınız adımları ayrıntılı olarak açıklayın. Buradan daha fazla bilgi edinebilirsiniz.

AWS hizmeti satıcılarının müşterileri tarafından gerçekleştirilen güvenlik testleri, ilgili satıcıların sorumluluğundadır.

Sızma Testi İçin Müşteri Hizmetleri Politikası

İzin Verilen Hizmetler

  • Amazon EC2 bulut sunucuları, NAT Ağ Geçitleri ve Elastic Load Balancer’lar
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway’ler
  • AWS Lambda ve Lambda Edge işlevleri
  • Amazon Lightsail kaynakları
  • Amazon Elastic Beanstalk ortamları

Yasak İşlemler

  • Amazon Route 53 Barındırılan Alanları üzerinden DNS alan taraması
  • Hizmet Reddi (DoS), Dağıtılmış Hizmet Reddi (DDoS), DoS Simülasyonu, DDoS Simülasyonu (Bunlar DDoS Simülasyonu Testi politikasına tabidir)
  • Bağlantı noktası taşması
  • Protokol taşması
  • İstek taşması (oturum açma isteği taşması, API isteği taşması)

Diğer Simüle Edilen Olaylar

Diğer Simüle Edilen Olaylar İçin Yetki İste

AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. Bizimle doğrudan iletişim kurmak için lütfen bir Simüle Edilen Olaylar formu gönderin. (AWS Çin (Ningksia ve Pekin) Bölgesi’nde faaliyet gösteren müşteriler için lütfen bu Simüle Edilen Olaylar formunu kullanın.)

Telefon numarası ve planlanan etkinliklerin detaylı açıklaması dâhil olmak üzere tarihleri, ilgili hesapları, ilgili varlıkları ve iletişim bilgilerini dâhil ettiğinizden emin olun. İlk ilgili kişinize 2 iş günü içinde isteğinizin alındığını onaylayan otomatik olmayan bir yanıt gönderilmesi gerekir.

Testlerin Sonucu

Verdiğimiz yetkiyi aldıktan sonra sizin yapacağınız başka işlem yoktur. Belirttiğiniz süre dahilinde testinizi gerçekleştirebilirsiniz. 

Ağ Stres Testi

Ağ Stres Testi gerçekleştirmek isteyen müşterilerin, Stres Testi politikamızı incelemesi gerekir.  

DDoS Simülasyonu Testi

DDoS simülasyonu testi gerçekleştirmek isteyen müşterilerin, DDoS Simülasyonu Testi politikamızı incelemesi gerekir.

Hüküm ve Koşullar

Tüm Güvenlik Testleri, AWS Güvenlik Testi Hüküm ve Koşulları’na uygun olmalıdır.

Güvenlik Testi:

  • hizmetler, ağ bant genişliği, dakika başına istek sayısı ve bulut sunucusu tipi ile sınırlıdır
  • siz ve AWS arasındakiAmazon Web Services Müşteri Sözleşmesine tabidir
  • bir sonraki bölümde yer alan AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikasına uygun gerçekleştirilmelidir

Doğrudan AWS araçlarının veya hizmetlerinin yol açtığı güvenlik açıkları veya başka sorunlarla karşılaşılırsa bunlar Test tamamlandıktan sonra 24 saat içinde AWS Security adresine bildirilmelidir.

Güvenlik Değerlendirmesi Araçlarının ve Hizmetlerinin Kullanımına İlişkin AWS Politikası

AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikası, diğer AWS müşterilerinin güvenliğinden ve AWS genelinde hizmet kalitesinden ödün verilmeksizin kendi AWS varlıklarınız üzerinde güvenlik değerlendirmeleri gerçekleştirmeniz konusunda önemli ölçüde esneklik sağlar.

AWS, varlıklarınıza güvenlik değerlendirmesi uygulama konusunda birçok genel, özel, ticari ve/veya açık kaynak kodlu araç ve hizmet seçeneği olduğunun farkındadır. “Güvenlik değerlendirmesi” terimi, AWS varlıklarınıza uzaktan uygulanabileceği gibi AWS varlıklarınız arasında veya yerel olarak, sanallaştırılmış varlıkların kendisinde de uygulanabilecek; AWS varlıklarınızdaki güvenlik denetimlerinin (ör. bağlantı noktası taraması, güvenlik açığı taraması/denetimleri, sızma testi, kötüye kullanım ve web uygulaması taramasının yanı sıra hata ekleme, sahtecilik veya bulandırma etkinlikleri) ne kadar etkili olduğunu ya da mevcut olup olmadığını belirlemeye yönelik tüm çalışmaları ifade eder.

AWS varlıklarınız üzerinde güvenlik değerlendirmesi gerçekleştirmek için seçebileceğiniz araç veya hizmetler konusunda bir sınırlama YOKTUR. Bununla birlikte, araçları veya hizmetleri size ait olup olmadığından bağımsız olarak HERHANGİ BİR AWS varlığına karşı Hizmet Reddi (DoS) saldırıları gerçekleştirecek veya buna benzer simülasyonlar yapacak şekilde kullanmanız YASAKTIR. DDoS simülasyonu testi gerçekleştirmek isteyen müşterilerin, DDoS Simülasyonu Testi politikamızı incelemesi gerekir.

"Başlık yakalama" örneğinde olduğu gibi, yalnızca DoS güvenlik açığı olduğu bilinen sürümlerin listesiyle karşılaştırmak amacıyla bir yazılımın adını ve sürümünü belirlemek için AWS varlığınızın uzaktan sorgulamasını gerçekleştiren bir güvenlik aracı, bu politikayı ihlal ETMEZ.

Ayrıca, yalnızca güvenlik değerlendirmesi kapsamında, AWS varlığınızda (geçici veya başka tip) çalışmakta olan bir işlemi uzaktan veya yerel olarak yapılan denemeler için gerektiği gibi kilitleyen bir güvenlik aracı veya hizmeti bu politikayı ihlal ETMEZ. Bununla birlikte, bu araç yukarıda bahsedilen protokol taşması veya kaynak isteği taşması gibi sonuçlara yol AÇMAMALIDIR.
Gerçek veya simülasyon olmasından bağımsız olarak HERHANGİ bir şekilde bir DoS koşulu oluşturan, böyle bir koşulun varlığını tespit eden veya gösteren tüm güvenlik araçları veya hizmetleri açıkça yasaktır.

Bazı araç ve hizmetler, daha önce açıklandığı gibi yanlış kullanım halinde örtük veya doğal olarak ya da aracın veya hizmetin açık bir testi/denetimi ya da özelliği olarak gerçek DoS özellikleri içerir. Böyle bir DoS özelliği olan tüm güvenlik araçları, bu DoS özelliğini açıkça DEVRE DIŞI BIRAKMA, GEÇERSİZ KILMA veya başka bir şekilde ZARARSIZ hale getirme özelliğine de sahip olmalıdır. Aksi takdirde, ilgili araç veya hizmet, güvenlik değerlendirmesinin HİÇBİR boyutunda KULLANILAMAZ.

Şu konularda sorumluluk tamamen AWS müşterisine aittir: (1) Güvenlik değerlendirmesi için kullanılan araç ve hizmetlerin düzgün bir şekilde yapılandırıldığından, DoS saldırıları veya simülasyonları gerçekleştirmeden başarılı bir şekilde çalıştığından emin olma, (2) Herhangi bir AWS varlığına güvenlik değerlendirmesi uygulanmadan önce, kullanılacak aracın veya hizmetin DoS saldırıları veya simülasyonları gerçekleştirmediğini bağımsız bir kaynaktan doğrulama. Kendisiyle sözleşme yapılan üçüncü tarafların güvenlik değerlendirmelerini bu politikayı ihlal etmeyecek şekilde uyguladığından emin olmak da AWS müşterisinin sorumluluğundadır.

Ayrıca, Test veya güvenlik değerlendirmesi etkinlikleriniz sonucu AWS’nin veya AWS müşterilerinin uğrayabileceği zararlar da sizin sorumluluğunuzdadır.

Bir AWS Şirket Temsilcisi ile iletişime geçin
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Güvenlik rollerini mi araştırıyorsunuz?
Bugün başvurun »
AWS Güvenlik güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »