申請滲透測試授權
滲透測試

我們的可接受的使用政策描述了 AWS 上允許和禁止的行為,並且包含禁止的安全違規和網路濫用行為的描述。不過,由於滲透測試和其他模擬事件常常與這些活動難以辨別,因此我們建立了一項政策,讓客戶請求許可,對 AWS 環境進行滲透測試和漏洞掃描,或從 AWS 環境進行滲透測試和漏洞掃描。


如需申請對任意 AWS 資源進行滲透測試或從任意 AWS 資源進行滲透測試的授權,請填寫並提交 AWS 漏洞/滲透測試申請表。以下為有關滲透測試申請的幾個重要事項:

  • 所有滲透測試都需要許可。
  • 要申請許可,您必須使用與需要進行測試的執行個體相關的根登入資料來登入 AWS 入口網站,否則表格將無法正確預先填入。如果您已經聘請第三方進行測試,您必須先填寫表格,在獲得我們的核准後再通知第三方。AWS 不會將核准授與第三方測試公司。
  • 我們的政策只允許測試以下資源:

    • EC2
    • RDS
    • Aurora
    • CloudFront
    • API Gateway
    • Lambda
    • Lightsail
    • DNS Zone Walking
  • 目前,我們的政策不允許測試小型或微型 RDS 執行個體類型。不允許測試 m1.small、t1.micro 或 t2.nano EC2 執行個體類型。這是為了防止對其他客戶共用的資源造成可能的負面效能影響。

您提交的表格需填寫與測試執行個體相關的各種資訊,包括識別測試的預計開始和結束日期及測試時長,還要求您閱讀並同意針對滲透測試及相應測試工具的使用條款與條件。請注意,結束日期距離開始日期不得超過 90 天。

AWS 會對您在此過程中共用的資訊保密。未經您的許可,AWS 不會與第三方共用這些資訊。

我們將在審查結束後回覆您的請求,最多可能需要兩個工作天。如果您的請求獲得核准,將會收到授權號碼。如果我們有任何疑問,將要求您闡明。請注意,請求更多資訊可能會延遲此程序,因此請據此規劃,並確保在提出初始請求時盡可能提供詳細的資訊。

如果您對於漏洞和滲透測試核准程序有任何問題,請將電子郵件寄送到 aws-security-cust-pen-test@amazon.com

申請滲透測試

• 安全模擬或安全競賽日

• 支援模擬或支援競賽日

• 戰爭遊戲模擬

• 白卡

• 紅軍藍軍對抗

• 災難復原模擬

• 其他模擬事件

請直接傳送電子郵件至 aws-security-simulated-event@amazon.com。針對事件進行溝通時,請確保提供事件的詳細資訊,包含:

• 日期

• 牽涉的帳戶

• 牽涉的資產

• 聯絡資訊,包含電話號碼

• 已計劃事件的詳細描述

AWS 會儘速回覆,並讓您隨時了解進度。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。

我們審查完提交請求時隨附的資訊後,會將這些資訊轉交給適當的團隊進行評估。基於這些請求的性質,會對每個提交的資訊進行人工審查,最多可能要七天才能回覆。最終的決定可能需要更長的時間,這取決於是否需要其他資訊才能完成評估。

收到我們的授權後,您不需要採取任何後續行動。您可以在指定的期間內開展測試。

申請模擬事件

 

聯絡我們