Hemen geçerli olmak üzere, AWS müşterileri, 8 hizmet için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilirler.

Lütfen bu çalışmaların aşağıda belirtilen politikaya uygun olmasına özen gösterin. Not: Müşterilerin AWS altyapısı veya AWS hizmetlerinin kendileriyle ilgili herhangi bir güvenlik değerlendirmesi yapmasına izin verilmez. Güvenlik değerlendirmeniz sırasında bir AWS hizmetinde güvenlik sorunuyla karşılaşırsanız lütfen hemen AWS Güvenlik birimine ulaşın.

Özel Önizleme ve NDA: Şu anda aşağıdaki hizmetlerin güvenlik değerlendirmeleri için bir önizleme programı yürütüyoruz. Bu tür değerlendirmeler yapmadan önce lütfen pen-test-nda@amazon.com adresine başvurarak bir NDA formu doldurun:

o Amazon Cloudfront

İzin Verilen Hizmetler: Sahip olduğunuz AWS kaynaklarından aşağıda listelenen hizmetleri kullananlar üzerinde dilediğiniz gibi güvenlik değerlendirmeleri gerçekleştirebilirsiniz. Bu listeyi sürekli güncelliyoruz; geri bildirim göndermek için buraya tıklayın veya daha fazla hizmet eklenmesini isteyin:

o Amazon EC2 bulut sunucuları, NAT Ağ Geçitleri ve Elastic Load Balancer’lar
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateway’ler
o AWS Lambda ve Lambda Edge işlevleri
o Amazon Lightsail kaynakları
o Amazon Elastic Beanstalk ortamları

Yasak İşlemler: Şu anda aşağıdaki işlemler yasaktır:

o Amazon Route 53 Barındırılan Alanları üzerinden DNS alan taraması
o Hizmet Engelleme (DoS), Dağıtılmış Hizmet Engelleme (DDoS), DoS Simülasyonu, DDoS Simülasyonu
o Bağlantı noktası taşması
o Protokol taşması
o İstek taşması (oturum açma isteği taşması, API isteği taşması)

Kötüye Kullanım Bildirimleri: Güvenlik testlerinizle ilgili bir kötüye kullanım bildirimi alırsak size iletiriz. Bu bildirimlere 24 saat içinde yanıt vermeniz gerekir. Yanıt verirken lütfen bildirilen etkinliğin kök nedenini belirtin ve ilgili sorunun tekrar gerçekleşmesini önlemek için attığınız adımları ayrıntılı olarak açıklayın. Buradan kötüye kullanım bildirme süreci hakkında daha fazla bilgi edinebilirsiniz.

Satıcı Sorumluluğu: AWS hizmeti satıcılarının müşterileri tarafından gerçekleştirilen güvenlik testleri, ilgili satıcıların sorumluluğundadır.

Tüm Güvenlik Testleri, AWS Güvenlik Testi Hüküm ve Koşulları’na uygun olmalıdır (aşağıya bakın).

Güvenlik testinizin, gereksinim duyduğunuz hedef kanıtların hata ya da kesinti olmadan, verimli bir şekilde toplandığı olumlu bir deneyim olmasını istiyoruz. Aşağıda, uygulamanız halinde bu deneyimi geliştirmekle kalmayıp sağlayıcınızın, AWS’nin ve diğer AWS müşterilerinin de takdirini kazanacak bazı yararlı ipuçları verilmiştir.

Hız sınırları: Testlerinizin her seferinde başarılı olması için lütfen tarama hızınızı 1 Gbps veya 10.000 RPS ile sınırlayın.

Bulut Sunucusu Tipleri: Ortamınızda kesinti yaşanma olasılığını en aza indirmek için aşağıdaki EC2 bulut sunucusu tiplerini güvenlik değerlendirmelerinize dahil etmemenizi öneririz

o T3.nano
o T2.nano
o T1.micro
o M1.small

IP Adreslerini Test Etme: Bulut ortamları doğası gereği dinamik olduğundan, bir teste başlanmadan önce tüm IP adresleri doğrulanarak IP adreslerine geçerli olarak sahip olunduğundan emin olunmalıdır.

Aklınıza takılan bir soru olursa lütfen aws-security-simulated-event@amazon.com adresi üzerinden bize ulaşın.

Güvenlik Testi (“Test””):
(a) Şu AWS web sitesinde belirtilen hizmetler, ağ bant genişliği, dakika başına istek sayısı ve bulut sunucusu tipi ile sınırlıdır: 

https://aws.amazon.com/security/penetration-testing/

(b) AWS ile aranızdaki Amazon Web Services Müşteri Sözleşmesi’nin (“Sözleşme”) koşullarına (http://aws.amazon.com/agreement/ adresinden ulaşılabilir) tabidir ve

(c) AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikasına (aşağıya eklenmiştir) uygun gerçekleştirilmelidir.

Doğrudan AWS araçlarının veya hizmetlerinin yol açtığı güvenlik açıkları veya başka sorunlarla karşılaşılırsa bunlar Test tamamlandıktan sonra 24 saat içinde aws-security@amazon.com adresine bildirilmelidir.

AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikası, diğer AWS müşterilerinin güvenliğinden ve AWS genelinde hizmet kalitesinden ödün verilmeksizin kendi AWS varlıklarınız üzerinde güvenlik değerlendirmeleri gerçekleştirmeniz konusunda önemli ölçüde esneklik sağlar.

AWS, varlıklarınıza güvenlik değerlendirmesi uygulama konusunda birçok genel, özel, ticari ve/veya açık kaynak kodlu araç ve hizmet seçeneği olduğunun farkındadır. “Güvenlik değerlendirmesi” terimi, AWS varlıklarınıza uzaktan uygulanabileceği gibi AWS varlıklarınız arasında veya yerel olarak, sanallaştırılmış varlıkların kendisinde de uygulanabilecek; AWS varlıklarınızdaki güvenlik denetimlerinin (ör. bağlantı noktası taraması, güvenlik açığı taraması/denetimleri, sızma testi, kötüye kullanım ve web uygulaması taramasının yanı sıra hata ekleme, sahtecilik veya bulandırma etkinlikleri) ne kadar etkili olduğunu ya da mevcut olup olmadığını belirlemeye yönelik tüm çalışmaları ifade eder.

AWS varlıklarınız üzerinde güvenlik değerlendirmesi gerçekleştirmek için seçebileceğiniz araç veya hizmetler konusunda bir sınırlama YOKTUR. Bununla birlikte, araçları veya hizmetleri size ait olup olmadığından bağımsız olarak HERHANGİ BİR AWS varlığına karşı Hizmet Engelleme (DoS) saldırıları gerçekleştirecek veya buna benzer simülasyonlar yapacak şekilde kullanmanız YASAKTIR. Yasak işlemler şunları içerir, ancak bunlarla kısıtlı olmayabilir:


• Protokol taşması (ör. SYN taşması, ICMP taşması, UDP taşması)
• Kaynak isteği taşması (ör. HTTP isteği taşması, Oturum açma isteği taşması, API isteği taşması)

“Başlık yakalama” örneğinde olduğu gibi, yalnızca DoS güvenlik açığı olduğu bilinen sürümlerin listesiyle karşılaştırmak amacıyla bir yazılımın adını ve sürümünü belirlemek için AWS varlığınızın uzaktan sorgulamasını gerçekleştiren bir güvenlik aracı, bu politikayı ihlal ETMEZ.

Ayrıca, yalnızca güvenlik değerlendirmesi kapsamında, AWS varlığınızda (geçici veya başka tip) çalışmakta olan bir işlemi uzaktan veya yerel olarak yapılan denemeler için gerektiği gibi kilitleyen bir güvenlik aracı veya hizmeti bu politikayı ihlal ETMEZ. Bununla birlikte, bu araç yukarıda bahsedilen protokol taşması veya kaynak isteği taşması gibi sonuçlara yol AÇMAMALIDIR.

Gerçek veya simülasyon olmasından bağımsız olarak HERHANGİ bir şekilde bir DoS koşulu oluşturan, böyle bir koşulun varlığını tespit eden veya gösteren tüm güvenlik araçları veya hizmetleri açıkça yasaktır.

Bazı araç ve hizmetler, daha önce açıklandığı gibi yanlış kullanım halinde örtük veya doğal olarak ya da aracın veya hizmetin açık bir testi/denetimi ya da özelliği olarak gerçek DoS özellikleri içerir. Böyle bir DoS özelliği olan tüm güvenlik araçları, bu DoS özelliğini açıkça DEVRE DIŞI BIRAKMA, GEÇERSİZ KILMA veya başka bir şekilde ZARARSIZ hale getirme özelliğine de sahip olmalıdır. Aksi takdirde, ilgili araç veya hizmet, güvenlik değerlendirmesinin HİÇBİR boyutunda KULLANILAMAZ.

Şu konularda sorumluluk tamamen AWS müşterisine aittir: (1) Güvenlik değerlendirmesi için kullanılan araç ve hizmetlerin düzgün bir şekilde yapılandırıldığından, DoS saldırıları veya simülasyonları gerçekleştirmeden başarılı bir şekilde çalıştığından emin olma, (2) Herhangi bir AWS varlığına güvenlik değerlendirmesi uygulanmadan önce, kullanılacak aracın veya hizmetin DoS saldırıları veya simülasyonları gerçekleştirmediğini bağımsız bir kaynaktan doğrulama. Kendisiyle sözleşme yapılan üçüncü tarafların güvenlik değerlendirmelerini bu politikayı ihlal etmeyecek şekilde uyguladığından emin olmak da AWS müşterisinin sorumluluğundadır.

Ayrıca, Test veya güvenlik değerlendirmesi etkinlikleriniz sonucu AWS’nin veya AWS müşterilerinin uğrayabileceği zararlar da sizin sorumluluğunuzdadır.


AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. İlk ilgili kişinize 2 iş günü içinde isteğinizin alındığını onaylayan otomatik olmayan bir yanıt gönderilmesi gerekir.

İsteğinizle birlikte gönderdiğiniz bilgileri inceledikten sonra değerlendirmeleri için ilgili ekiplere iletiriz. Bu isteklerin niteliği nedeniyle her gönderim manuel olarak incelenir ve yanıtlanması 7 gün kadar sürebilir. Değerlendirmemizi tamamlamak için ek bilgiler gerekip gerekmediğine bağlı olarak nihai bir karar daha uzun sürebilir.

• Güvenlik simülasyonları ve güvenlik oyunu günleri

• Destek simülasyonları ve destek oyunu günleri

• Savaş oyunu simülasyonları

• Beyaz kartlar

• Kırmızı ekip ve mavi ekip testleri

• Olağanüstü durum kurtarma simülasyonları.

• Diğer simüle edilen olaylar

Lütfen bize doğrudan aws-security-simulated-event@amazon.com adresinden e-posta gönderin. Olayınızı iletirken aşağıdakiler gibi ayrıntıları mutlaka bildirin:

• Tarihler

• İlgili hesaplar

• İlgili varlıklar

• Telefon numarası dahil iletişim bilgileri

• Planlı etkinliklerin ayrıntılı açıklaması

AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. İlk ilgili kişinize 2 iş günü içinde isteğinizin alındığını onaylayan otomatik olmayan bir yanıt gönderilmesi gerekir.

İsteğinizle birlikte gönderdiğiniz bilgileri inceledikten sonra değerlendirmeleri için ilgili ekiplere iletiriz. Bu isteklerin niteliği nedeniyle her gönderim manuel olarak incelenir ve yanıtlanması 7 gün kadar sürebilir. Değerlendirmemizi tamamlamak için ek bilgiler gerekip gerekmediğine bağlı olarak nihai bir karar daha uzun sürebilir.

Verdiğimiz yetkiyi aldıktan sonra sizin yapacağınız başka işlem yoktur. Belirttiğiniz süre dahilinde testinizi gerçekleştirebilirsiniz.

Ağ Stres Testi gerçekleştirmek isteyen müşterilerin Stres Testi politikamızı incelemesi gerekir.  

DDoS simülasyonu isteyen müşteriler aşağıda belirtilen ön onaylı satıcılar aracılığıyla desteklenir. Lütfen isteğinizi buna göre yeniden yönlendirin.

Güncel Onaylı

Vendors Red Wolf Security

NCC Group

AWS ProServ

 

Simüle Edilen Olay İste

 

Bize Ulaşın