Báo cáo lỗ hổng

Giải quyết lỗ hổng tiềm ẩn trong mọi khía cạnh của các dịch vụ đám mây

Amazon Web Services rất coi trọng vấn đề bảo mật và điều tra tất cả các lỗ hổng được báo cáo. Trang web này mô tả phương pháp thực hành của chúng tôi để giải quyết lỗ hổng tiềm ẩn trong mọi khía cạnh của các dịch vụ đám mây.

Báo cáo lỗ hổng đáng ngờ

  • Amazon.com (Bán lẻ): Nếu bạn có mối quan tâm về bảo mật với Amazon.com (Bán lẻ), Trung tâm người bán, Amazon Payments hoặc các vấn đề liên quan khác như đơn hàng đáng ngờ, phí thẻ tín dụng không hợp lệ, email đáng ngờ hoặc báo cáo lỗ hổng, vui lòng truy cập trang web Bảo mật cho Bán lẻ của chúng tôi.
  • Amazon Web Services (AWS): Nếu bạn muốn báo cáo lỗ hổng hoặc có mối quan ngại về bảo mật liên quan đến AWS cloud services, vui lòng gửi email đến aws-security@amazon.com. Nếu bạn muốn bảo vệ email của mình, bạn có thể sử dụng khóa PGP của chúng tôi.

Nếu bạn nghi ngờ rằng các tài nguyên AWS (như phiên bản EC2 hoặc bộ chứa S3) đang được sử dụng cho hoạt động đáng ngờ, bạn có thể báo cáo tài nguyên đó cho Nhóm lạm dụng AWS.

Để chúng tôi có thể phản hồi báo cáo của bạn một cách hiệu quả hơn, vui lòng cung cấp bất kỳ tài liệu hỗ trợ nào (mã chứng minh tính khả thi, dữ liệu xuất của công cụ, v.v.) sẽ hữu ích trong việc giúp chúng tôi hiểu bản chất và mức độ nghiêm trọng của lỗ hổng.

Thông tin bạn chia sẻ với AWS thuộc khuôn khổ quy trình này được giữ bảo mật trong nội bộ AWS. Thông tin này sẽ không được chia sẻ với các bên thứ ba mà không có sự cho phép của bạn.

AWS sẽ xem xét báo cáo đã gửi và gán cho báo cáo một số theo dõi. Sau đó, chúng tôi sẽ trả lời bạn, xác nhận đã nhận được báo cáo và nêu rõ các bước tiếp theo trong quy trình.

Đánh giá bởi AWS

Khi báo cáo đã được gửi, AWS sẽ hoạt động để xác thực lỗ hổng được báo cáo. Nếu cần thêm thông tin để xác thực hoặc tạo lại vấn đề, AWS sẽ làm việc với bạn để có được thông tin đó. Khi điều tra ban đầu hoàn tất, kết quả sẽ được gửi cho bạn cùng với kế hoạch giải quyết và công bố công khai.

Một số điều cần lưu ý về quy trình đánh giá AWS:

  • Sản phẩm của bên thứ ba: Nhiều nhà cung cấp cung cấp sản phẩm trong đám mây AWS. Nếu lỗ hổng được tìm thấy ảnh hưởng đến sản phẩm của bên thứ ba, AWS sẽ thông báo cho tác giả của phần mềm bị ảnh hưởng. AWS sẽ tiếp tục phối hợp giữa bạn và bên thứ ba. Danh tính của bạn sẽ không được tiết lộ cho bên thứ ba mà không có sự cho phép của bạn.
  • Xác nhận không phải lỗ hổng: Nếu vấn đề không thể được xác nhận hoặc không được coi là một lỗ hổng trong sản phẩm AWS, điều này sẽ được chia sẻ với bạn.
  • Phân loại lỗ hổng: AWS sử dụng phiên bản 2.0 của Hệ thống chấm điểm lỗ hổng chung (CVSS) để đánh giá các lỗ hổng tiềm ẩn. Điểm số kết quả giúp định lượng mức độ nghiêm trọng của vấn đề và ưu tiên phản hồi của chúng tôi. Để biết thêm thông tin về CVSS, vui lòng xem Thông cáo CVSS-SIG.

AWS cam kết đáp ứng và thông báo cho bạn về tiến trình của chúng tôi khi chúng tôi điều tra và/hoặc giảm thiểu mối quan ngại về bảo mật được báo cáo của bạn. Bạn sẽ nhận được phản hồi không tự động đối với liên hệ ban đầu của bạn trong vòng 24 giờ, xác nhận đã nhận được lỗ hổng được báo cáo của bạn. Bạn sẽ nhận được cập nhật tiến độ từ chúng tôi tối thiểu mỗi năm ngày làm việc.

Thông báo công khai

Nếu có thể, AWS sẽ phối hợp thông báo công khai về lỗ hổng được xác thực với bạn. Khi có thể, chúng tôi muốn các tiết lộ công khai tương ứng của chúng tôi được đăng cùng một lúc.

Để bảo vệ khách hàng của chúng tôi, AWS yêu cầu bạn không đăng hoặc chia sẻ bất kỳ thông tin nào về lỗ hổng tiềm ẩn trong bất kỳ môi trường công cộng nào cho đến khi chúng tôi nghiên cứu, phản hồi và giải quyết lỗ hổng được báo cáo và thông báo cho khách hàng nếu cần. Ngoài ra, chúng tôi trân trọng yêu cầu bạn không đăng hoặc chia sẻ bất kỳ dữ liệu nào thuộc về khách hàng của chúng tôi. Giải quyết một lỗ hổng được báo cáo hợp lệ sẽ mất thời gian. Điều này sẽ thay đổi dựa trên mức độ nghiêm trọng của lỗ hổng và các hệ thống bị ảnh hưởng.

Thông báo công khai AWS ở dạng Bản tin bảo mật, được đăng trong Trung tâm bảo mật AWS. Các cá nhân, công ty và nhóm bảo mật thường đăng lời khuyên của họ trên các trang web của riêng họ và trên các diễn đàn khác và khi có liên quan, chúng tôi sẽ bao gồm các liên kết đến các tài nguyên của bên thứ ba trong các bản tin bảo mật AWS.

Vui lòng liên hệ với đại diện kinh doanh AWS
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn muốn khám phá vai trò bảo mật?
Đăng ký ngay hôm nay »
Bạn muốn cập nhật thông tin về Bảo mật AWS?
Theo dõi chúng tôi trên Twitter »