滲透測試

根據定義的安全標準測試 AWS 環境

適用於滲透測試的 AWS 客戶支援政策

歡迎 AWS 客戶對其 AWS 基礎架構進行安全評估或滲透測試,無需事先取得 8 項服務的核准,這些服務將在「許可的服務」下文中列出。

請確定這些活動符合以下政策。注意:客戶不得對 AWS 基礎設施或 AWS 服務本身進行任何安全評估。如果您在安全評估過程中發現任何 AWS 服務存在安全問題,請立即聯絡 AWS 安全

如果 AWS 收到與安全測試活動有關的濫用舉報,我們會將其轉送給您。在回應時,請提供被舉報活動的根本原因,並詳細說明您為防止報告的問題再次發生而採取的措施。在這裡進一步了解。

AWS 服務的經銷商負責其客戶的安全測試活動。

滲透測試的客戶服務政策

許可的服務

  • Amazon EC2 執行個體、NAT 閘道以及 Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda 和 Lambda Edge 函數
  • Amazon Lightsail 資源
  • Amazon Elastic Beanstalk 環境

禁止的活動

  • 透過 Amazon Route 53 託管區域的 DNS 區域遍歷
  • 拒絕服務 (DoS)、分散式拒絕服務 (DDoS)、模擬 DoS、模擬 DDoS
  • 連接埠泛洪攻擊
  • 協定泛洪攻擊
  • 請求泛洪攻擊 (登入請求泛洪攻擊、API 請求泛洪攻擊)

其他模擬事件

請求其他模擬事件授權

AWS 會儘速回覆,並讓您隨時了解進度。請直接傳送電子郵件至 aws-security-simulated-event@amazon.com。確保包括日期、涉及的帳戶、涉及的資產和聯絡資訊,包括電話號碼和計劃中事件的詳細描述。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。

我們審查完提交請求時隨附的資訊後,會將這些資訊轉交給適當的團隊進行評估。基於這些請求的性質,會對每個提交的資訊進行人工審查,最多可能要七天才能回覆。最終的決定可能需要更長的時間,這取決於是否需要其他資訊才能完成評估。

測試結論

收到我們的授權後,您不需要採取任何後續行動。您可以在指定的期間內開展測試。 

網路壓力測試

若客戶希望進行網路壓力測試,應參閱我們的壓力測試政策。客戶希望透過以下預先核准的廠商進行 DDoS 模擬。請據此重導您的請求。

條款與條件

所有安全測試必須符合這些 AWS 安全測試條款與條件。

安全測試︰

  • 將僅限於服務、網路頻寛、每分鐘請求數和執行個體類型
  • 遵守您與 AWS 之間的 Amazon Web Services 客戶協議
  • 將遵守 AWS 針對安全評估工具和服務所制定的使用政策 (包括在下文中)

若發現與 AWS 工具或服務直接有關的任何漏洞或其他問題,請務必在測試完成後的 24 小時內回報給 AWS 安全

關於使用安全評估工具和服務的 AWS 政策

AWS 關於安全評估工具和服務的使用政策為您的 AWS 資產執行安全評估提供極大的靈活性,同時保護了其他 AWS 客戶並確保 AWS 的服務品質。

AWS 了解目前有多種公有、私有、商業和/或開放原始碼工具和服務可供選擇,以便對您的 AWS 資產進行安全評估。「安全評估」一詞是指為確定 AWS 資產中安全控制的功效或存在而進行的所有活動,例如連接埠掃描、漏洞掃描/檢查、滲透測試、開採、Web 應用程式掃描,以及任何資料隱碼、偽造或模糊測試活動,而且攻擊途徑不外乎從遠端下指令攻擊您的 AWS 資產、在 AWS 資產之中/之間進行攻擊,或是在虛擬資產本身內部進行攻擊。

您可以選擇使用任何工具和服務執行 AWS 資產安全評估,但在使用任何工具或服務時禁止以拒絕服務 (DoS) 攻擊或模擬此類服務的方式攻擊任何 AWS 資產 (您的或其他)。禁止的活動包括但可能不限於:

  • 協定泛洪攻擊 (例如 SYN 泛洪攻擊、ICMP 泛洪攻擊、UDP 泛洪攻擊)
  • 資源請求泛洪攻擊 (例如 HTTP 請求泛洪攻擊、登入請求泛洪攻擊、API 請求泛洪攻擊)

為與已知易受 DoS 攻擊的版本清單進行比較,僅執行 AWS 資產遠端查詢以判斷軟體名稱和版本的安全工具 (例如 "banner grabbing"),並不違反此政策。

此外,為了在安全評估中進行必要的遠端或本機開採工作,而以臨時或其他方式損毀 AWS 資產執行中程序的安全工具或服務,並不違反此政策。但此工具不得用於上述協定泛洪攻擊或資源請求泛洪攻擊。
明確禁止以任何其他方式 (實際或模擬) 建立、判斷存在或重現 DoS 狀態的安全工具或服務。

有些工具或服務如果使用不當或作為工具或服務的明確測試/檢查或功能使用,將會無訊息包含或內含所描述的實際 DoS 功能。任何具有此類 DoS 功能的安全工具或服務都必須具有停用、解除該 DoS 功能或以其他方式無害呈現的明確能力。否則,該工具或服務不能用於安全評估的任何面向。

AWS 客戶需單獨負責:(1) 確保用於執行安全評估的工具和服務經過適當設定,且可以不執行 DoS 攻擊或此類模擬的方式成功操作,以及 (2) 在任何 AWS 資產的安全評估之前,獨立驗證採用的工具或服務不會執行 DoS 攻擊或模擬此類攻擊。此 AWS 客戶責任包括確保簽訂合約的第三方以不違反此政策的方式執行安全評估。

此外,您需負責您的測試或安全評估活動造成的 AWS 或其他 AWS 客戶的任何損失。

聯絡 AWS 業務代表
有問題? 聯絡 AWS 業務代表
探索安全職缺?
立即申請 »
需要 AWS 安全更新?
在 Twitter 上關注我們 »