歡迎 AWS 客戶對其 AWS 基礎設施進行安全評估或滲透測試,立即生效,無需事先取得 8 項服務的核准。

請確定這些活動符合以下政策。注意:客戶不得對 AWS 基礎設施或 AWS 服務本身進行任何安全評估。如果您在安全評估過程中發現任何 AWS 服務存在安全問題,請立即聯絡 AWS 安全

私人預覽和 NDA – 我們目前正在執行預覽計劃,以便對以下服務進行安全評估。進行此類評估之前,請聯絡 pen-test-nda@amazon.com,填寫 NDA:

  • Amazon Cloudfront

允許的服務 – 如果您使用下面列出的服務,歡迎您對擁有的 AWS 資源進行安全評估。我們會不斷更新此清單;請按一下這裡提供您的意見,或要求包含其他服務:

  • Amazon EC2 執行個體、NAT 閘道以及 Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda 和 Lambda Edge 函數
  • Amazon Lightsail 資源
  • Amazon Elastic Beanstalk 環境

禁止的活動 – 目前禁止下列活動:

  • 透過 Amazon Route 53 託管區域的 DNS 區域遍歷
  • 拒絕服務 (DoS)、分散式拒絕服務 (DDoS)、模擬 DoS、模擬 DDoS
  • 連接埠泛洪攻擊
  • 協定泛洪攻擊
  • 請求泛洪攻擊 (登入請求泛洪攻擊、API 請求泛洪攻擊)

濫用報告 – 如果 AWS 收到與安全測試活動有關的濫用舉報,我們會將其轉送給您。您必須在收到通知後的 24 小時內,針對這些這些報告做出回應。在回應時,請提供被舉報活動的根本原因,並詳細說明您為防止報告的問題再次發生而採取的措施。您可以在這裡進一步了解濫用舉報流程。

經銷商責任 – AWS 服務的經銷商負責其客戶的安全測試活動。

所有安全測試必須符合 AWS 安全測試條款與條件 (請參閱下文)。

我們希望您的安全測試能夠成為一種正面的體驗、能夠有效地收集您需要的客觀證據,而不會出現錯誤或中斷。以下是一些有用的提示,遵循這些提示有可能改善體驗,同時獲得供應商、AWS 和其他 AWS 客戶的讚賞。

速率限制– 為確保測試成功,請將掃描限制為 1 Gbps 或 10,000 RPS。

執行個體類型 – 我們建議從安全評估排除以下 EC2 執行個體類型,以盡量減少對環境的潛在干擾

  • T3.nano
  • T2.nano
  • T1.micro
  • M1.small

測試 IP 地址 – 由於雲端環境的動態本質,應在測試開始之前驗證所有 IP 地址,以確保 IP 地址目前的擁有權。

如有任何問題,請聯絡 aws-security-simulated-event@amazon.com

安全測試 (下稱「測試」):
(a) 將僅限於 AWS 網站上列出的服務、網路頻寛、每分鐘請求數和執行個體類型: 

https://aws.amazon.com/security/penetration-testing/

(b) 需遵守您與 AWS 簽署之 Amazon Web Services 客戶協議的各項條款 (請參閱 http://aws.amazon.com/agreement/) (下稱「協議」),以及

(c) 將遵守 AWS 針對安全評估工具和服務所制定的使用政策 (包括在下文中)。

若發現與 AWS 工具或服務直接有關的任何漏洞或其他問題,請務必在測試完成後的 24 小時內回報給 aws-security@amazon.com

AWS 關於安全評估工具和服務的使用政策為您的 AWS 資產執行安全評估提供極大的靈活性,同時保護了其他 AWS 客戶並確保 AWS 的服務品質。

AWS 了解目前有多種公有、私有、商業和/或開放原始碼工具和服務可供選擇,以便對您的 AWS 資產進行安全評估。「安全評估」一詞是指為確定 AWS 資產中安全控制的功效或存在而進行的所有活動,例如連接埠掃描、漏洞掃描/檢查、滲透測試、開採、Web 應用程式掃描,以及任何資料隱碼、偽造或模糊測試活動,而且攻擊途徑不外乎從遠端下指令攻擊您的 AWS 資產、在 AWS 資產之中/之間進行攻擊,或是在虛擬資產本身內部進行攻擊。

您可以選擇使用任何工具和服務執行 AWS 資產安全評估,但在使用任何工具或服務時禁止以拒絕服務 (DoS) 攻擊或模擬此類服務的方式攻擊任何 AWS 資產 (您的或其他)。禁止的活動包括但可能不限於:

  • 協定泛洪攻擊 (例如 SYN 泛洪攻擊、ICMP 泛洪攻擊、UDP 泛洪攻擊)
  • 資源請求泛洪攻擊 (例如 HTTP 請求泛洪攻擊、登入請求泛洪攻擊、API 請求泛洪攻擊)

為與已知易受 DoS 攻擊的版本清單進行比較,僅執行 AWS 資產遠端查詢以判斷軟體名稱和版本的安全工具 (例如 "banner grabbing"),並不違反此政策。

此外,為了在安全評估中進行必要的遠端或本機開採工作,而以臨時或其他方式損毀 AWS 資產執行中程序的安全工具或服務,並不違反此政策。但此工具不得用於上述協定泛洪攻擊或資源請求泛洪攻擊。

明確禁止以任何其他方式 (實際或模擬) 建立、判斷存在或重現 DoS 狀態的安全工具或服務。

有些工具或服務如果使用不當或作為工具或服務的明確測試/檢查或功能使用,將會無訊息包含或內含所描述的實際 DoS 功能。任何具有此類 DoS 功能的安全工具或服務都必須具有停用、解除該 DoS 功能或以其他方式無害呈現的明確能力。否則,該工具或服務不能用於安全評估的任何面向。

AWS 客戶需單獨負責:(1) 確保用於執行安全評估的工具和服務經過適當設定,且可以不執行 DoS 攻擊或此類模擬的方式成功操作,以及 (2) 在任何 AWS 資產的安全評估之前,獨立驗證採用的工具或服務不會執行 DoS 攻擊或模擬此類攻擊。此 AWS 客戶責任包括確保簽訂合約的第三方以不違反此政策的方式執行安全評估。

此外,您需負責您的測試或安全評估活動造成的 AWS 或其他 AWS 客戶的任何損失。



AWS 會儘速回覆,並讓您隨時了解進度。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。

我們審查完提交請求時隨附的資訊後,會將這些資訊轉交給適當的團隊進行評估。基於這些請求的性質,會對每個提交的資訊進行人工審查,最多可能要七天才能回覆。最終的決定可能需要更長的時間,這取決於是否需要其他資訊才能完成評估。

  • 安全模擬或安全競賽日
  • 支援模擬或支援競賽日
  • 戰爭遊戲模擬
  • 白卡
  • 紅軍藍軍對抗
  • 災難復原模擬。
  • 其他模擬事件

請直接傳送電子郵件至 aws-security-simulated-event@amazon.com。針對事件進行溝通時,請確保提供事件的詳細資訊,包含:

  • 日期
  • 牽涉的帳戶
  • 牽涉的資產
  • 聯絡資訊,包含電話號碼
  • 已計劃事件的詳細描述

AWS 會儘速回覆,並讓您隨時了解進度。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。

我們審查完提交請求時隨附的資訊後,會將這些資訊轉交給適當的團隊進行評估。基於這些請求的性質,會對每個提交的資訊進行人工審查,最多可能要七天才能回覆。最終的決定可能需要更長的時間,這取決於是否需要其他資訊才能完成評估。

收到我們的授權後,您不需要採取任何後續行動。您可以在指定的期間內開展測試。

若客戶希望進行網路壓力測試,應參閱我們的壓力測試政策。 

若客戶希望透過以下預先核准的廠商進行 DDoS 模擬,請據此重導您的請求。

目前已核准

廠商 Red Wolf Security

NCC Group

AWS ProServ

 

 

聯絡我們