Sızma Testi
Sızma Testi İçin AWS Müşteri Desteği Politikası
AWS müşterileri, bir sonraki bölümde yer alan "İzin Verilen Hizmetler" listesinde yer alan hizmetler için ön onay gerekmeksizin diledikleri AWS altyapı güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilirler. Ayrıca AWS, müşterilerin güvenlik değerlendirmesi araçlarını şirket içi testler, AWS'de yapılan testler veya üçüncü taraf sözleşmeli testler için AWS IP alanı ya da diğer bulut sağlayıcısı dahilinde barındırmasına olanak tanır. Komut ve Kontrol (C2) içeren tüm güvenlik testleri önceden onay gerektirir.
Lütfen bu çalışmaların aşağıda belirtilen politikaya uygun olmasına özen gösterin. Not: Müşterilerin AWS altyapısı veya fiilen AWS hizmetleriyle ilgili herhangi bir güvenlik değerlendirmesi yapmasına izin verilmez. Güvenlik değerlendirmeniz sırasında bir AWS hizmetinde güvenlik sorunu gözlemlerseniz lütfen hemen AWS Güvenlik birimine ulaşın.
AWS'nin Güvenlik testlerinizle ilgili bir kötüye kullanım bildirimi alması halinde size iletiriz. Yanıt verirken, üçüncü taraf raportörlerle paylaşabileceğimiz bir iletişim noktasıyla birlikte lütfen kullanım örneğinizi ayrıntılı şekilde açıklayan uygun bir dil kullanın. Buradan daha fazla bilgi edinebilirsiniz.
AWS hizmeti satıcılarının müşterileri tarafından gerçekleştirilen güvenlik testleri, ilgili satıcıların sorumluluğundadır.
Sızma Testi İçin Müşteri Hizmetleri Politikası
İzin Verilen Hizmetler
- Amazon EC2 bulut sunucuları, WAF, NAT Ağ Geçitleri ve Esnek Yük Dengeleyiciler
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Ağ Geçitleri
- AWS AppSync
- AWS Lambda ve Lambda Edge işlevleri
- Amazon Lightsail kaynakları
- Amazon Elastic Beanstalk ortamları
- Amazon Esnek Container Hizmeti
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- AWS Transit Ağ Geçidi
- S3 tarafından barındırılan uygulamalar (S3 klasörlerinin hedeflenmesi kesinlikle yasaktır)
Yasak İşlemler
- Amazon Route 53 Barındırılan Alanları üzerinden DNS alan taraması
- Route 53 aracılığıyla DNS ele geçirme
- Route 53 aracılığıyla DNS trafiği yönlendirme
- Hizmet Reddi (DoS), Dağıtılmış Hizmet Reddi (DDoS), DoS Simülasyonu, DDoS Simülasyonu (Bunlar DDoS Simülasyonu Testi politikasına tabidir)
Bağlantı noktası taşması
- Protokol taşması
- İstek taşması (oturum açma isteği taşması, API isteği taşması)
Onaylanmamış hizmetleri test etmek isteyen müşterilerin, doğrudan AWS Destek veya hesap temsilciniz ile birlikte çalışması gerekir.
Diğer Simüle Edilen Olaylar
Kırmızı/Mavi/Mor Ekip Testleri
Kırmızı/Mavi/Mor Ekip testleri, bir kuruluşun güvenlik farkındalığını ve yanıt sürelerini test etmek için tasarlanmış çekişmeli güvenlik simülasyonlarıdır
Gizli çekişmeli güvenlik simülasyonları gerçekleştirmek isteyen ve/veya Komut ve Kontrol (C2) barındıran müşteriler inceleme için bir Simüle Edilen Olaylar formu göndermelidir.
Ağ Stres Testi
Stres Testi, verimli bir operasyonel kapasite temin etmek için amaçlanan belirli bir hedef uygulamaya büyük hacimde gerçek trafik veya test trafiği gönderen bir performans testidir. Uç nokta uygulamasının, testin bir parçası olarak amaçlanan işlevi gerçekleştirmesi beklenir. Hedefi aşırı yüklemeye yönelik herhangi bir girişim, hizmet reddi (DoS) olarak değerlendirilir.
Ağ Stres Testi gerçekleştirmek isteyen müşterilerin, Stres Testi politikamızı incelemesi gerekir.
iPerf Testi
iPerf, ağ performansı ölçümüne ve ayarına yönelik bir araçtır. Herhangi bir ağ için standartlaştırılmış performans ölçümleri üretebilen, platformlar arası bir araçtır.
iPerf testi gerçekleştirmek isteyen müşterilerin, inceleme için bir Simüle Edilen Olaylar formu göndermesi gerekir.
DDoS Simülasyonu Testi
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, hedeflenen bir uygulamanın erişilebilirliğini etkilemek üzere saldırganların birden çok kaynaktan bir trafik akışı yönlendirmesiyle meydana gelir. DDoS simülasyonu testi, uygulama sahibinin uygulama dayanıklılığını değerlendirmesi ve olay müdahale pratiği yapmasına olanak tanımak üzere kontrollü bir DDoS saldırısı kullanır.
DDoS simülasyonu testi gerçekleştirmek isteyen müşterilerin, DDoS Simülasyonu Testi politikamızı incelemesi gerekir.
Kimlik Avı Simülasyonu
Kimlik Avı Simülasyonu, kullanıcılardan hassas bilgiler edinmeyi amaçlayan bir sosyal mühendislik saldırı denemesi simülasyonudur. Buradaki amaç, kurumsal güvenliği artırmak üzere ilgili kullanıcıları belirlemek ve bu kişileri geçerli e-postalar ile kimlik avı e-postaları arasındaki fark konusunda eğitmektir.
Kimlik Avı Simülasyonu kampanyaları gerçekleştirmek isteyen müşterilerin, inceleme için bir Simüle Edilen Olaylar formu göndermesi gerekir.
Kötü Amaçlı Yazılım Testi
Kötü Amaçlı Yazılım Testi, güvenlik özelliklerini geliştirmek üzere uygulamaları veya antivirüs programlarını zararlı dosya ya da programlara maruz bırakma pratiğidir.
Kötü Amaçlı Yazılım Testi gerçekleştirmek isteyen müşterilerin, inceleme için bir Simüle Edilen Olaylar formu göndermesi gerekir.
Diğer Simüle Edilen Olaylar İçin Yetki İsteme
AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. Bizimle doğrudan iletişim kurmak için lütfen bir Simüle Edilen Olaylar formu gönderin. [AWS Çin (Ningksia ve Pekin) Bölgesinde faaliyet gösteren müşteriler için lütfen bu Simüle Edilen Olaylar formunu kullanın.]
Telefon numarası ve planlanan olayların detaylı açıklaması dahil olmak üzere tarihleri, ilgili hesap kimliklerini, ilgili varlıkları ve iletişim bilgilerini eklediğinizden emin olun. İlk ilgili kişinize 2 iş günü içinde isteğinizin alındığını onaylayan otomatik olmayan bir yanıt gönderilmesi gerekir.
Tüm Simüle Edilen Olay istekleri, başlangıç tarihinden en az iki (2) hafta önce AWS'ye gönderilmiş olmalıdır.
Testlerin Sonucu
Verdiğimiz yetkiyi aldıktan sonra sizin yapacağınız başka işlem yoktur. Belirttiğiniz süre dahilinde testinizi gerçekleştirebilirsiniz.
Hüküm ve Koşullar
Tüm Güvenlik Testleri, AWS Güvenlik Testi Hüküm ve Koşulları’na uygun olmalıdır.
Güvenlik Testi:
- hizmetler, ağ bant genişliği, dakika başına istek sayısı ve bulut sunucusu tipi ile sınırlıdır
- siz ve AWS arasındakiAmazon Web Services Müşteri Sözleşmesine tabidir
- bir sonraki bölümde yer alan AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikasına uygun gerçekleştirilmelidir
Doğrudan AWS araçlarının veya hizmetlerinin yol açtığı güvenlik açıkları veya başka sorunlarla karşılaşılırsa bunlar test tamamlandıktan sonra 24 saat içinde AWS Security adresine bildirilmelidir.
Güvenlik Değerlendirmesi Araçlarının ve Hizmetlerinin Kullanımına İlişkin AWS Politikası
AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikası, diğer AWS müşterilerinin güvenliğinden ve AWS genelinde hizmet kalitesinden ödün verilmeksizin kendi AWS varlıklarınız üzerinde güvenlik değerlendirmeleri gerçekleştirmeniz konusunda önemli ölçüde esneklik sağlar.
AWS, varlıklarınıza güvenlik değerlendirmesi uygulama konusunda birçok genel, özel, ticari ve/veya açık kaynak kodlu araç ve hizmet seçeneği olduğunun farkındadır. “Güvenlik değerlendirmesi” terimi, AWS varlıklarınıza uzaktan uygulanabileceği gibi AWS varlıklarınız arasında veya yerel olarak, sanallaştırılmış varlıkların kendisinde de uygulanabilecek; AWS varlıklarınızdaki güvenlik denetimlerinin (ör. bağlantı noktası taraması, güvenlik açığı taraması/denetimleri, sızma testi, kötüye kullanım ve web uygulaması taramasının yanı sıra hata ekleme, sahtecilik veya bulandırma etkinlikleri) ne kadar etkili olduğunu ya da mevcut olup olmadığını belirlemeye yönelik tüm çalışmaları ifade eder.
AWS varlıklarınız üzerinde güvenlik değerlendirmesi gerçekleştirmek için seçebileceğiniz araç veya hizmetler konusunda bir sınırlama YOKTUR. Bununla birlikte, araçları veya hizmetleri size ait olup olmadığından bağımsız olarak HERHANGİ BİR AWS varlığına karşı Hizmet Reddi (DoS) saldırıları gerçekleştirecek veya buna benzer simülasyonlar yapacak şekilde kullanmanız YASAKTIR. DDoS simülasyonu testi gerçekleştirmek isteyen müşterilerin, DDoS Simülasyonu Testi politikamızı incelemesi gerekir.
"Başlık yakalama" örneğinde olduğu gibi, yalnızca DoS güvenlik açığı olduğu bilinen sürümlerin listesiyle karşılaştırmak amacıyla bir yazılımın adını ve sürümünü belirlemek için AWS varlığınızın uzaktan sorgulamasını gerçekleştiren bir güvenlik aracı, bu politikayı ihlal ETMEZ.
Ayrıca, yalnızca güvenlik değerlendirmesi kapsamında, AWS varlığınızda (geçici veya başka tip) çalışmakta olan bir işlemi uzaktan veya yerel olarak yapılan denemeler için gerektiği gibi kilitleyen bir güvenlik aracı veya hizmeti bu politikayı ihlal ETMEZ. Bununla birlikte, bu araç yukarıda bahsedilen protokol taşması veya kaynak isteği taşması gibi sonuçlara yol AÇMAMALIDIR.
Gerçek veya simülasyon olmasından bağımsız olarak HERHANGİ bir şekilde bir DoS koşulu oluşturan, böyle bir koşulun varlığını tespit eden veya gösteren tüm güvenlik araçları veya hizmetleri açıkça yasaktır.
Bazı araç ve hizmetler, daha önce açıklandığı gibi yanlış kullanım halinde örtük veya doğal olarak ya da aracın veya hizmetin açık bir testi/denetimi ya da özelliği olarak gerçek DoS özellikleri içerir. Böyle bir DoS özelliği olan tüm güvenlik araçları, bu DoS özelliğini açıkça DEVRE DIŞI BIRAKMA, GEÇERSİZ KILMA veya başka bir şekilde ZARARSIZ hale getirme özelliğine de sahip olmalıdır. Aksi takdirde, ilgili araç veya hizmet, güvenlik değerlendirmesinin HİÇBİR boyutunda KULLANILAMAZ.
Şu konularda sorumluluk tamamen AWS müşterisine aittir: (1) Güvenlik değerlendirmesi için kullanılan araç ve hizmetlerin düzgün bir şekilde yapılandırıldığından, DoS saldırıları veya simülasyonları gerçekleştirmeden başarılı bir şekilde çalıştığından emin olma, (2) Herhangi bir AWS varlığına güvenlik değerlendirmesi uygulanmadan önce, kullanılacak aracın veya hizmetin DoS saldırıları veya simülasyonları gerçekleştirmediğini bağımsız bir kaynaktan doğrulama. Kendisiyle sözleşme yapılan üçüncü tarafların güvenlik değerlendirmelerini bu politikayı ihlal etmeyecek şekilde uyguladığından emin olmak da AWS müşterisinin sorumluluğundadır.
Ayrıca, test veya güvenlik değerlendirmesi etkinlikleriniz sonucu AWS'nin veya AWS müşterilerinin uğrayabileceği zararlar da sizin sorumluluğunuzdadır.
