如需申請對任意 AWS 資源進行滲透測試或從任意 AWS 資源進行滲透測試的授權,請填寫並提交 AWS 漏洞/滲透測試申請表。以下為有關滲透測試申請的幾個重要事項:
- 所有滲透測試都需要許可。
- 要申請許可,您必須使用與需要進行測試的執行個體相關的根登入資料來登入 AWS 入口網站,否則表格將無法正確預先填入。如果您已經聘請第三方進行測試,我們建議您先填寫表格,在獲得我們的核准後再通知第三方。
- 我們的政策僅允許測試您擁有的 EC2 和 RDS 執行個體。禁止對任何其他 AWS 服務或 AWS 擁有的資源進行測試
- 目前,我們的政策不允許測試小型或微型 RDS 執行個體類型。不允許測試 m1.small、t1.micro 或 t2.nano EC2 執行個體類型。這是為了防止對其他客戶共用的資源造成可能的負面效能影響。
您提交的表格需填寫與測試執行個體相關的各種資訊,包括識別測試的預計開始和結束日期及測試時長,還要求您閱讀並同意針對滲透測試及相應測試工具的使用條款與條件。請注意,結束日期距離開始日期不得超過 90 天。
AWS 會對您在此過程中共用的資訊保密。未經您的許可,AWS 不會與第三方共用這些資訊。
我們將在審查結束後回覆您的請求,最多可能需要兩個工作天。如果您的請求獲得核准,將會收到授權號碼。如果我們有任何疑問,將要求您闡明。請注意,請求更多資訊可能會延遲此程序,因此請據此規劃,並確保在提出初始請求時盡可能提供詳細的資訊。
• 安全模擬或安全競賽日
• 支援模擬或支援競賽日
• 戰爭遊戲模擬
• 白卡
• 紅軍藍軍對抗
• 災難復原模擬
• 其他模擬事件
請直接傳送電子郵件至 aws-security-simulated-event@amazon.com。針對事件進行溝通時,請確保提供事件的詳細資訊,包含:
• 日期
• 牽涉的帳戶
• 牽涉的資產
• 聯絡資訊,包含電話號碼
• 已計劃事件的詳細描述
AWS 會儘速回覆,並讓您隨時了解進度。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。
我們審查完提交請求時隨附的資訊後,會將這些資訊轉交給適當的團隊進行評估。基於這些請求的性質,會對每個提交的資訊進行人工審查,最多可能要七天才能回覆。最終的決定可能需要更長的時間,這取決於是否需要其他資訊才能完成評估。
收到我們的授權後,您不需要採取任何後續行動。您可以在指定的期間內開展測試。
