Kiểm thử thâm nhập
Chính sách hỗ trợ khách hàng của AWS đối với Kiểm thử thâm thập
Khách hàng AWS được khuyến khích thực hiện các đánh giá bảo mật hoặc kiểm thử thâm nhập cơ sở hạ tầng AWS của mình mà không cần có sự đồng ý trước đối với các dịch vụ được liệt kê ở phần tiếp theo trong mục “Các dịch vụ được cho phép.” Ngoài ra, AWS cho phép khách hàng lưu trữ công cụ đánh giá bảo mật của họ trong dải địa chỉ IP của AWS hoặc nhà cung cấp dịch vụ đám mây khác để kiểm thử tại chỗ, trong AWS hoặc theo hợp đồng với bên thứ ba. Tất cả kiểm thử bảo mật bao gồm Điều khiển và kiểm soát (C2) cần có sự đồng ý trước.
Vui lòng bảo đảm rằng các hoạt động này tuân theo chính sách được quy định bên dưới. Lưu ý: Khách hàng không được phép tự mình thực hiện bất kỳ đánh giá bảo mật cơ sở hạ tầng AWS hay dịch vụ AWS nào. Nếu phát hiện vấn đề bảo mật trong bất kỳ dịch vụ AWS nào được theo dõi trong quá trình đánh giá bảo mật, vui lòng liên hệ bộ phận Bảo mật AWS ngay lập tức.
Nếu AWS nhận được báo cáo lạm dụng cho các hoạt động liên quan đến việc kiểm thử bảo mật của bạn, chúng tôi sẽ chuyển tiếp báo cáo đó cho bạn. Khi phản hồi, vui lòng sử dụng ngôn ngữ phù hợp để cung cấp cho chúng tôi chi tiết về trường hợp sử dụng của bạn, bao gồm đầu mối liên hệ mà chúng tôi có thể chia sẻ với bên báo cáo thứ ba bất kỳ. Tìm hiểu thêm tại đây.
Các bên bán lại dịch vụ AWS chịu trách nhiệm về hoạt động kiểm thử bảo mật của khách hàng.
Chính sách dịch vụ khách hàng đối với kiểm thử thâm nhập
Các dịch vụ được cho phép
- Phiên bản Amazon EC2, WAF, Cổng NAT và Bộ cân bằng tải linh hoạt
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Cổng API Amazon
- AWS AppSync
- Hàm AWS Lambda và Lambda Edge
- Tài nguyên Amazon Lightsail
- Môi trường Amazon Elastic Beanstalk
- Dịch vụ bộ chứa linh hoạt của Amazon
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Cổng chuyển tiếp Amazon
- Các ứng dụng được lưu trữ trên S3 (nghiêm cấm nhắm đến các vùng lưu trữ S3)
Các hoạt động bị nghiêm cấm
- Thăm dò vùng DNS thông qua Vùng được lưu trữ của Amazon Route 53
- Đánh cắp DNS thông qua Route 53
- Đánh lừa DNS thông qua Route 53
- Từ chối dịch vụ (DoS), Từ chối dịch vụ phân tán (DDoS), DoS mô phỏng, DDoS mô phỏng (Những điều này tuân theo chính sách Kiểm tra mô phỏng DDoS
Gây tràn cổng
- Gây tràn giao thức
- Gây tràn yêu cầu (gây tràn yêu cầu đăng nhập, gây tràn yêu cầu API)
Khách hàng mong muốn kiểm thử các dịch vụ không được cho phép sẽ cần phải liên hệ trực tiếp với đội ngũ Hỗ trợ AWS hoặc người đại diện khách hàng.
Sự kiện mô phỏng khác
Kiểm thử đội đỏ/xanh/tím
Kiểm thử đội đỏ/xanh/tím là những mô phỏng bảo mật đối kháng được thiết kế để kiểm thử nhận thức bảo mật và thời gian phản hồi của một tổ chức
Các khách hàng mong muốn thực hiện mô phỏng bảo mật đối kháng bí mật và/hoặc lưu trữ Điều khiển và kiểm soát (C2) cần phải gửi biểu mẫu Sự kiện mô phỏng để được xét duyệt.
Kiểm thử tính ổn định của mạng
Kiểm thử tính ổn định là bài kiểm tra hiệu năng, trong đó một lượng lớn lưu lượng hợp lệ hoặc kiểm thử được gửi đến một ứng dụng mục tiêu cụ thể đã định nhằm đảm bảo khả năng vận hành hiệu quả. Ứng dụng điểm cuối được kỳ vọng sẽ thực hiện các chức năng như bình thường trong lần kiểm thử. Bất kỳ trường hợp nào tìm cách khiến mục tiêu bị quá tải đều được coi là sự cố từ chối dịch vụ (DoS).
Khách hàng muốn thực hiện Kiểm thử tính ổn định của mạng nên xem xét chính sách Kiểm thử tính ổn định của chúng tôi.
Kiểm thử iPerf
iPerf là một công cụ đo lường và tinh chỉnh hiệu năng mạng. Đây là một công cụ liên nền tảng có thể thực hiện đo lường hiệu năng tiêu chuẩn cho bất kỳ mạng nào.
Các khách hàng mong muốn thực hiện kiểm thử iPerf cần phải gửi biểu mẫu Sự kiện mô phỏng để được xét duyệt.
Kiểm thử mô phỏng DDoS
Các cuộc tấn công Từ chối dịch vụ phân tán (DDoS) xảy ra khi những kẻ tấn công sử dụng một lượng lớn lưu lượng từ nhiều nguồn nhằm tác động đến tính khả dụng của ứng dụng mục tiêu. Kiểm thử mô phỏng DDoS sử dụng một cuộc tấn công DDoS có kiểm soát để cho phép chủ nhân ứng dụng đánh giá khả năng phục hồi của ứng dụng và luyện tập ứng phó với sự cố.
Khách hàng muốn thực hiện kiểm thử mô phỏng DDoS nên xem xét chính sách Kiểm thử mô phỏng DDoS.
Mô phỏng lừa đảo
Mô phỏng lừa đảo là mô phỏng về một cuộc tấn công phi kỹ thuật nhằm cố gắng thu thập thông tin nhạy cảm từ người dùng. Mục tiêu là xác định người dùng và hướng dẫn họ về sự khác biệt giữa email hợp lệ và email lừa đảo để tăng cường bảo mật cho tổ chức.
Các khách hàng mong muốn thực hiện chiến dịch Mô phỏng lừa đảo cần phải gửi biểu mẫu Sự kiện mô phỏng để được xét duyệt.
Kiểm thử phần mềm độc hại
Kiểm thử phần mềm độc hại là phương pháp đưa các tệp hoặc chương trình độc hại vào ứng dụng hoặc chương trình chống vi-rút để cải thiện các tính năng bảo mật.
Các khách hàng mong muốn thực hiện Kiểm thử phần mềm độc hại cần phải gửi biểu mẫu Sự kiện mô phỏng để được xét duyệt.
Yêu cầu cấp phép cho sự kiện mô phỏng khác
AWS cam kết sẽ phản hồi và giúp bạn cập nhật liên tục về tiến trình. Vui lòng gửi biểu mẫu Sự kiện mô phỏng để liên hệ trực tiếp với chúng tôi. (Đối với khách hàng hoạt động tại khu vực Trung Quốc của AWS (Ninh Hạ và Bắc Kinh), vui lòng sử dụng biểu mẫu Sự kiện mô phỏng này.)
Vui lòng cung cấp ngày, ID tài khoản và tài sản có liên quan, và thông tin liên hệ, bao gồm số điện thoại và mô tả chi tiết về sự kiện theo kế hoạch. Bạn sẽ nhận được phản hồi không tự động đến thông tin liên hệ ban đầu của bạn trong vòng 2 ngày làm việc xác nhận rằng chúng tôi đã nhận được yêu cầu của bạn.
Mọi yêu cầu Sự kiện mô phỏng phải được gửi đến cho AWS trước tối thiểu hai (2) tuần tính từ ngày bắt đầu.
Kết luận kiểm tra
Sau khi nhận được cấp phép, phía bạn sẽ không cần thực hiện thêm việc gì. Bạn sẽ có quyền thực hiện kiểm thử cho đến khi kết thúc kỳ hạn bạn đã nêu.
Điều khoản và điều kiện
Tất cả các hoạt động Kiểm thử bảo mật phải tuân thủ Điều khoản và điều kiện Kiểm thử bảo mật của AWS.
Kiểm thử bảo mật:
- Sẽ bị giới hạn ở các dịch vụ, băng thông mạng, số yêu cầu mỗi phút và loại phiên bản
- Phải tuân theo các điều khoản có trong Thỏa thuận khách hàng của Amazon Web Services giữa bạn và AWS
- Sẽ phải tuân thủ chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật được nêu trong phần tiếp theo
Mọi phát hiện về lỗ hổng hoặc vấn đề khác là kết quả trực tiếp từ công cụ hoặc dịch vụ của AWS phải được chuyển đến bộ phậnAWS Security trong vòng 24 giờ sau khi hoàn thành kiểm thử.
Chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật
Chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật vừa cho phép sự linh động đáng kể trong việc thực hiện đánh giá bảo mật tài sản AWS của bạn, vừa bảo vệ các khách hàng AWS khác và bảo đảm chất lượng dịch vụ trên toàn AWS.
AWS hiểu rằng có nhiều công cụ và dịch vụ công khai, riêng tư, thương mại và/hoặc mã nguồn mở để chọn nhằm mục đích thực hiện đánh giá bảo mật tài sản AWS của bạn. Thuật ngữ "đánh giá bảo mật" được dùng để chỉ tất cả hoạt động có liên quan nhằm mục đích xác định hiệu quả hoặc sự tồn tại của các biện pháp kiểm soát bảo mật trong tài sản AWS của bạn, ví dụ: quét cổng, quét/kiểm tra lỗ hổng, kiểm thử thâm nhập, khai thác, quét ứng dụng web cũng như mọi hoạt động lồng ghép, làm giả hoặc kiểm thử mờ, được thực hiện từ xa trên tài sản AWS của bạn, trong/giữa các tài sản AWS của bạn hay thực hiện cục bộ trong chính các tài sản ảo hóa.
Bạn KHÔNG bị giới hạn lựa chọn công cụ hay dịch vụ để thực hiện đánh giá bảo mật tài sản AWS của mình. Tuy nhiên, bạn BỊ nghiêm cấm sử dụng bất kỳ công cụ hay dịch vụ nào để thực hiện tấn công Từ chối dịch vụ (DoS) hay mô phỏng hành vi đó đối với MỌI tài sản của AWS, tài sản của bạn hoặc tài sản khác. Khách hàng muốn thực hiện kiểm thử mô phỏng DDoS nên xem xét chính sách Kiểm thử mô phỏng DDoS.
Công cụ bảo mật chỉ thực hiện truy vấn từ xa tài sản AWS của bạn để xác định tên và phiên bản phần mềm, ví dụ như "lấy biểu ngữ", nhằm mục đích so sánh với danh sách phiên bản đã xác định là có lỗ hổng DoS KHÔNG vi phạm chính sách này.
Ngoài ra, công cụ hoặc dịch vụ bảo mật làm gián đoạn quy trình đang chạy trên tài sản AWS của bạn, bất kể có tạm thời hay không, vốn là yêu cầu cần thiết để khai thác từ xa hoặc cục bộ, thuộc khuôn khổ đánh giá bảo mật KHÔNG vi phạm chính sách này. Tuy nhiên, công cụ này KHÔNG được phép tham gia gây tràn giao thức hoặc gây tràn yêu cầu tài nguyên, như được đề cập ở trên.
Công cụ hoặc dịch vụ có chức năng tạo, xác định sự tồn tại của, hoặc minh họa điều kiện tấn công DoS theo BẤT KỲ hình thức nào, bất kể là thực tế hay mô phỏng, đều bị nghiêm cấm rõ ràng.
Một số công cụ hoặc dịch vụ có bao gồm khả năng tấn công DoS thực tế theo mô tả, bất kể là âm thầm/thực chất nếu được sử dụng một cách sai trái hoặc dưới dạng kiểm thử/kiểm tra rõ ràng hoặc tính năng của công cụ hoặc dịch vụ. Mọi công cụ hoặc dịch vụ bảo mật có khả năng tấn công DoS như vậy, phải có khả năng rõ ràng trong việc VÔ HIỆU HÓA, TẮT KÍCH HOẠT hoặc làm khả năng DoS đó trở nên VÔ HẠI theo cách khác. Nếu không, KHÔNG được sử dụng công cụ hoặc dịch vụ đó cho BẤT KỲ thuộc tính nào của đánh giá bảo mật.
Khách hàng của AWS chịu hoàn toàn trách nhiệm cho việc: (1) bảo đảm các công cụ hoặc dịch vụ được dùng để thực hiện đánh giá bảo mật đều được cấu hình đúng cách và hoạt động thành công theo cách thức không thực hiện tấn công hoặc mô phỏng DoS và hoạt động tương tự, (2) xác thực độc lập rằng các công cụ hoặc dịch vụ được dùng không thực hiện tấn công hoặc mô phỏng DoS và hoạt động tương tự, TRƯỚC khi thực hiện đánh giá bảo mật bất kỳ tài sản AWS nào. Trách nhiệm của khách hàng AWS bao gồm việc bảo đảm giao cho bên thứ ba thực hiện đánh giá bảo mật sao cho không vi phạm chính sách này.
Hơn nữa, bạn chịu trách nhiệm về mọi thiệt hại cho AWS hoặc bất kỳ khách hàng AWS nào khác do hoạt động kiểm thử hoặc đánh giá bảo mật của bạn gây ra.