Sızma Testi

AWS ortamını tanımlı güvenlik standartlarına karşı test edin

Sızma Testi için AWS Müşteri Desteği Politikası

AWS müşterileri, bir sonraki bölümde yer alan “İzin Verilen Hizmetler” listesinde yer alan 8 hizmet için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilirler.

Lütfen bu çalışmaların aşağıda belirtilen politikaya uygun olmasına özen gösterin. Not: Müşterilerin AWS altyapısı veya AWS hizmetlerinin kendileriyle ilgili herhangi bir güvenlik değerlendirmesi yapmasına izin verilmez. Güvenlik değerlendirmeniz sırasında bir AWS hizmetinde güvenlik sorunuyla karşılaşırsanız lütfen hemen AWS Güvenlik birimine ulaşın.

AWS’nin Güvenlik testlerinizle ilgili bir kötüye kullanım bildirimi alması halinde size iletiriz. Yanıt verirken lütfen bildirilen etkinliğin temel nedenini belirtin ve ilgili sorunun tekrar gerçekleşmesini önlemek için attığınız adımları ayrıntılı olarak açıklayın. Buradan daha fazla bilgi edinebilirsiniz.

AWS hizmeti satıcılarının müşterileri tarafından gerçekleştirilen güvenlik testleri, ilgili satıcıların sorumluluğundadır.

Sızma Testi İçin Müşteri Hizmetleri Politikası

İzin Verilen Hizmetler

  • Amazon EC2 bulut sunucuları, NAT Ağ Geçitleri ve Elastic Load Balancer’lar
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway’ler
  • AWS Lambda ve Lambda Edge işlevleri
  • Amazon Lightsail kaynakları
  • Amazon Elastic Beanstalk ortamları

Yasak İşlemler

  • Amazon Route 53 Barındırılan Alanları üzerinden DNS alan taraması
  • Hizmet Engelleme (DoS), Dağıtılmış Hizmet Engelleme (DDoS), DoS Simülasyonu, DDoS Simülasyonu
  • Bağlantı noktası taşması
  • Protokol taşması
  • İstek taşması (oturum açma isteği taşması, API isteği taşması)

Diğer Simüle Edilen Olaylar

Diğer Simüle Edilen Olaylar İçin Yetki İste

AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. Lütfen bize doğrudan aws-security-simulated-event@amazon.com adresinden e-posta gönderin. Telefon numarası ve planlanan etkinliklerin detaylı açıklaması dahil olmak üzere tarihleri, ilgili hesapları, ilgili varlıkları ve iletişim bilgilerini dahil ettiğinizden emin olun. İlk ilgili kişinize 2 iş günü içinde isteğinizin alındığını onaylayan otomatik olmayan bir yanıt gönderilmesi gerekir.

İsteğinizle birlikte gönderdiğiniz bilgileri inceledikten sonra değerlendirmeleri için ilgili ekiplere iletiriz. Bu isteklerin niteliği nedeniyle her gönderim manuel olarak incelenir ve yanıtlanması 7 gün kadar sürebilir. Değerlendirmemizi tamamlamak için ek bilgiler gerekip gerekmediğine bağlı olarak nihai bir karar daha uzun sürebilir.

Testlerin Sonucu

Verdiğimiz yetkiyi aldıktan sonra sizin yapacağınız başka işlem yoktur. Belirttiğiniz süre dahilinde testinizi gerçekleştirebilirsiniz. 

Ağ Stres Testi

Ağ Stres Testi gerçekleştirmek isteyen müşterilerin Stres Testi politikamızı incelemesi gerekir. DDoS simülasyonu isteyen müşteriler aşağıda belirtilen ön onaylı satıcılar aracılığıyla desteklenir. Lütfen isteğinizi buna göre yeniden yönlendirin.

Hüküm ve Koşullar

Tüm Güvenlik Testleri, AWS Güvenlik Testi Hüküm ve Koşulları’na uygun olmalıdır.

Güvenlik Testi:

  • hizmetler, ağ bant genişliği, dakika başına istek sayısı ve bulut sunucusu tipi ile sınırlıdır
  • siz ve AWS arasındakiAmazon Web Services Müşteri Sözleşmesine tabidir
  • bir sonraki bölümde yer alan AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikasına uygun gerçekleştirilmelidir

Doğrudan AWS araçlarının veya hizmetlerinin yol açtığı güvenlik açıkları veya başka sorunlarla karşılaşılırsa bunlar Test tamamlandıktan sonra 24 saat içinde AWS Security adresine bildirilmelidir.

Güvenlik Değerlendirmesi Araçlarının ve Hizmetlerinin Kullanımına İlişkin AWS Politikası

AWS’nin güvenlik değerlendirmesi araçlarının ve hizmetlerinin kullanımına ilişkin politikası, diğer AWS müşterilerinin güvenliğinden ve AWS genelinde hizmet kalitesinden ödün verilmeksizin kendi AWS varlıklarınız üzerinde güvenlik değerlendirmeleri gerçekleştirmeniz konusunda önemli ölçüde esneklik sağlar.

AWS, varlıklarınıza güvenlik değerlendirmesi uygulama konusunda birçok genel, özel, ticari ve/veya açık kaynak kodlu araç ve hizmet seçeneği olduğunun farkındadır. “Güvenlik değerlendirmesi” terimi, AWS varlıklarınıza uzaktan uygulanabileceği gibi AWS varlıklarınız arasında veya yerel olarak, sanallaştırılmış varlıkların kendisinde de uygulanabilecek; AWS varlıklarınızdaki güvenlik denetimlerinin (ör. bağlantı noktası taraması, güvenlik açığı taraması/denetimleri, sızma testi, kötüye kullanım ve web uygulaması taramasının yanı sıra hata ekleme, sahtecilik veya bulandırma etkinlikleri) ne kadar etkili olduğunu ya da mevcut olup olmadığını belirlemeye yönelik tüm çalışmaları ifade eder.

AWS varlıklarınız üzerinde güvenlik değerlendirmesi gerçekleştirmek için seçebileceğiniz araç veya hizmetler konusunda bir sınırlama YOKTUR. Bununla birlikte, araçları veya hizmetleri size ait olup olmadığından bağımsız olarak HERHANGİ BİR AWS varlığına karşı Hizmet Engelleme (DoS) saldırıları gerçekleştirecek veya buna benzer simülasyonlar yapacak şekilde kullanmanız YASAKTIR. Yasak işlemler şunları içerir ancak bunlarla sınırlı olmayabilir:

  • Protokol taşması (ör. SYN taşması, ICMP taşması, UDP taşması)
  • Kaynak isteği taşması (ör. HTTP isteği taşması, Oturum açma isteği taşması, API isteği taşması)

“Başlık yakalama” örneğinde olduğu gibi, yalnızca DoS güvenlik açığı olduğu bilinen sürümlerin listesiyle karşılaştırmak amacıyla bir yazılımın adını ve sürümünü belirlemek için AWS varlığınızın uzaktan sorgulamasını gerçekleştiren bir güvenlik aracı, bu politikayı ihlal ETMEZ.

Ayrıca, yalnızca güvenlik değerlendirmesi kapsamında, AWS varlığınızda (geçici veya başka tip) çalışmakta olan bir işlemi uzaktan veya yerel olarak yapılan denemeler için gerektiği gibi kilitleyen bir güvenlik aracı veya hizmeti bu politikayı ihlal ETMEZ. Bununla birlikte, bu araç yukarıda bahsedilen protokol taşması veya kaynak isteği taşması gibi sonuçlara yol AÇMAMALIDIR.
Gerçek veya simülasyon olmasından bağımsız olarak HERHANGİ bir şekilde bir DoS koşulu oluşturan, böyle bir koşulun varlığını tespit eden veya gösteren tüm güvenlik araçları veya hizmetleri açıkça yasaktır.

Bazı araç ve hizmetler, daha önce açıklandığı gibi yanlış kullanım halinde örtük veya doğal olarak ya da aracın veya hizmetin açık bir testi/denetimi ya da özelliği olarak gerçek DoS özellikleri içerir. Böyle bir DoS özelliği olan tüm güvenlik araçları, bu DoS özelliğini açıkça DEVRE DIŞI BIRAKMA, GEÇERSİZ KILMA veya başka bir şekilde ZARARSIZ hale getirme özelliğine de sahip olmalıdır. Aksi takdirde, ilgili araç veya hizmet, güvenlik değerlendirmesinin HİÇBİR boyutunda KULLANILAMAZ.

Şu konularda sorumluluk tamamen AWS müşterisine aittir: (1) Güvenlik değerlendirmesi için kullanılan araç ve hizmetlerin düzgün bir şekilde yapılandırıldığından, DoS saldırıları veya simülasyonları gerçekleştirmeden başarılı bir şekilde çalıştığından emin olma, (2) Herhangi bir AWS varlığına güvenlik değerlendirmesi uygulanmadan önce, kullanılacak aracın veya hizmetin DoS saldırıları veya simülasyonları gerçekleştirmediğini bağımsız bir kaynaktan doğrulama. Kendisiyle sözleşme yapılan üçüncü tarafların güvenlik değerlendirmelerini bu politikayı ihlal etmeyecek şekilde uyguladığından emin olmak da AWS müşterisinin sorumluluğundadır.

Ayrıca, Test veya güvenlik değerlendirmesi etkinlikleriniz sonucu AWS’nin veya AWS müşterilerinin uğrayabileceği zararlar da sizin sorumluluğunuzdadır.

Bir AWS Şirket Temsilcisi ile iletişime geçin
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Güvenlik rollerini mi araştırıyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »