Báo cáo lỗ hổng

Giải quyết lỗ hổng tiềm ẩn trong mọi khía cạnh của các dịch vụ đám mây

Amazon Web Services rất coi trọng vấn đề bảo mật và điều tra tất cả các lỗ hổng được báo cáo. Trang web này mô tả phương pháp thực hành của chúng tôi để giải quyết lỗ hổng tiềm ẩn trong mọi khía cạnh của các dịch vụ đám mây.

Báo cáo lỗ hổng bảo mật đáng ngờ

  • Amazon Web Services (AWS): Nếu bạn muốn báo cáo lỗ hổng bảo mật hoặc có mối quan ngại về bảo mật liên quan đến dịch vụ đám mây AWS hoặc các dự án nguồn mở, vui lòng gửi thông tin đến aws-security@amazon.com. Nếu muốn bảo vệ nội dung mình gửi, bạn có thể sử dụng khóa PGP của chúng tôi.
  • Chính sách hỗ trợ khách hàng của AWS đối với kiểm thử thâm thập: AWS hoan nghênh khách hàng thực hiện đánh giá bảo mật hoặc kiểm thử thâm nhập đối với hạ tầng AWS của họ mà không cần phê duyệt trước đối với các dịch vụ được liệt kê. Bạn cần gửi Yêu cầu cho phép dành cho các sự kiện mô phỏng khác qua biểu mẫu Sự kiện mô phỏng. Đối với khách hàng hoạt động tại khu vực Trung Quốc của AWS (Ninh Hạ và Bắc Kinh), vui lòng sử dụng biểu mẫu Sự kiện mô phỏng này.
  • Lạm dụng AWS: Nếu nghi ngờ rằng tài nguyên AWS (như phiên bản EC2 hoặc vùng lưu trữ S3) đang bị sử dụng cho hoạt động đáng ngờ, bạn có thể báo cáo điều đó cho Nhóm phụ trách vấn đề lạm dụng AWS thông qua biểu mẫu Báo cáo lạm dụng AWS của Amazon hoặc liên hệ với abuse@amazonaws.com.
  • Thông tin tuân thủ AWS: Bạn có thể truy cập vào báo cáo tuân thủ AWS thông qua AWS Artifact. Nếu bạn có thêm câu hỏi liên quan đến vấn đề tuân thủ của AWS, vui lòng liên hệ với họ qua biểu mẫu tiếp nhận.
  • Amazon.com (Bán lẻ): Nếu bạn có mối quan ngại về bảo mật với Amazon.com (Bán lẻ), Trung tâm người bán, Amazon Payments hoặc các vấn đề liên quan khác như đơn hàng đáng ngờ, phí thẻ tín dụng không hợp lệ, email đáng ngờ hoặc báo cáo lỗ hổng bảo mật, vui lòng truy cập trang web Bảo mật cho ngành bán lẻ của chúng tôi.

Để chúng tôi có thể phản hồi báo cáo của bạn một cách hiệu quả hơn, vui lòng cung cấp bất kỳ tài liệu hỗ trợ nào (mã chứng minh tính khả thi, dữ liệu xuất của công cụ, v.v.) sẽ giúp chúng tôi hiểu bản chất và mức độ nghiêm trọng của lỗ hổng bảo mật đó.

AWS bảo mật thông tin bạn chia sẻ trong quy trình này trong nội bộ AWS. AWS sẽ chỉ chia sẻ thông tin này với bên thứ ba nếu lỗ hổng bảo mật mà bạn báo cáo được phát hiện là ảnh hưởng đến sản phẩm của bên thứ ba. Trong trường hợp đó, chúng tôi sẽ chia sẻ thông tin này với tác giả hoặc nhà sản xuất của sản phẩm bên thứ ba. Trong các trường hợp khác, AWS sẽ chỉ chia sẻ thông tin này khi bạn cho phép.

AWS sẽ xem xét báo cáo bạn gửi và gán cho báo cáo một số theo dõi. Sau đó, chúng tôi sẽ trả lời bạn để xác nhận rằng chúng tôi đã nhận được báo cáo và nêu rõ các bước tiếp theo trong quy trình.

Đánh giá SLA của AWS

AWS cam kết phản hồi và thông báo cho bạn về tiến trình chúng tôi điều tra và/hoặc giảm thiểu mối quan ngại về bảo mật mà bạn báo cáo. Bạn sẽ nhận được một phản hồi (không phải loại gửi tự động) trong vòng 24 giờ kể từ khi liên hệ với chúng tôi lần đầu tiên, trong đó xác nhận rằng chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật mà bạn gửi. Sau đó, cứ năm ngày làm việc tại Hoa Kỳ (tối thiểu), AWS sẽ gửi cho bạn thông tin cập nhật tiến độ.

Thông báo công khai

Nếu có thể, AWS sẽ phối hợp với bạn để thông báo công khai về mọi lỗ hổng bảo mật đã xác thực. Khi có thể, chúng tôi cũng muốn đồng thời đăng tải thông báo công khai tương ứng của mình.

Để bảo vệ khách hàng, AWS yêu cầu bạn không đăng hoặc chia sẻ bất kỳ thông tin nào về lỗ hổng bảo mật tiềm ẩn trong bất kỳ môi trường công cộng nào cho đến khi chúng tôi nghiên cứu, phản hồi và xử lý lỗ hổng bảo mật mà bạn báo cáo cũng như thông báo cho khách hàng nếu cần. Ngoài ra, chúng tôi trân trọng yêu cầu bạn không đăng hoặc chia sẻ bất kỳ dữ liệu nào thuộc về khách hàng của chúng tôi. Việc xử lý một lỗ hổng bảo mật được báo cáo hợp lệ sẽ mất thời gian và tiến trình còn phụ thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật cũng như hệ thống bị ảnh hưởng.

AWS thông báo công khai dưới dạng Bản tin bảo mật đăng trên trang web Bảo mật của AWS. Các cá nhân, công ty và nhóm bảo mật thường đăng lời khuyên của họ trên trang web của riêng họ cũng như các diễn đàn khác. Khi có liên quan, chúng tôi sẽ đưa đường liên kết đến các tài nguyên của bên thứ ba đó vào Bản tin bảo mật của AWS.  

Cảng an toàn

AWS cho rằng nghiên cứu bảo mật được thực hiện một cách thiện chí cần được cung cấp cảng an toàn. Chúng tôi đã thông qua Điều khoản cốt lõi của Disclose.io, tuân theo các điều kiện bên dưới, và chúng tôi mong muốn được hợp tác với các nhà nghiên cứu bảo mật có chung niềm đam mê bảo vệ khách hàng AWS.

Phạm vi

Các hoạt động sau nằm ngoài phạm vi của Chương trình báo cáo lỗ hổng bảo mật AWS. Nếu thực hiện bất kỳ hoạt động nào dưới đây, bạn sẽ bị loại khỏi chương trình vĩnh viễn.

  1. Nhắm mục tiêu tài sản của khách hàng AWS hoặc các trang web không phải của AWS được lưu trữ trên cơ sở hạ tầng của chúng tôi
  2. Bất kỳ lỗ hổng bảo mật nào có được thông qua việc xâm phạm tài khoản khách hàng hoặc nhân viên AWS
  3. Mọi cuộc tấn công từ chối dịch vụ (DoS) đối với các sản phẩm hoặc khách hàng AWS
  4. Các cuộc tấn công vật lý chống lại nhân viên, văn phòng và trung tâm dữ liệu của AWS
  5. Hành vi tấn công phi kỹ thuật của nhân viên, nhà thầu, nhà cung cấp hoặc nhà cung cấp dịch vụ của AWS
  6. Cố ý đăng, truyền, tải lên, liên kết đến hoặc gửi phần mềm độc hại
  7. Theo đuổi các lỗ hổng bảo mật gửi tin nhắn hàng loạt không mong muốn (spam)

Chính sách tiết lộ

Sau khi bạn gửi báo cáo, AWS sẽ nỗ lực để xác thực lỗ hổng bảo mật mà bạn báo cáo. Nếu cần thêm thông tin để xác thực hoặc tạo lại vấn đề, AWS sẽ làm việc với bạn. Khi điều tra ban đầu hoàn tất, chúng tôi sẽ gửi cho bạn kết quả cùng với kế hoạch giải quyết và thảo luận về việc công bố công khai.

Một số điều cần lưu ý về quy trình AWS:

  1. Sản phẩm của bên thứ ba: Nhiều nhà cung cấp cung cấp sản phẩm trong đám mây AWS. Nếu lỗ hổng bảo mật được phát hiện là ảnh hưởng đến sản phẩm của bên thứ ba, AWS sẽ thông báo cho chủ sở hữu của công nghệ bị ảnh hưởng. AWS sẽ tiếp tục phối hợp giữa bạn và bên thứ ba đó. Chúng tôi sẽ không tiết lộ danh tính của bạn cho bên thứ ba khi bạn chưa cho phép.
  2. Xác nhận không phải lỗ hổng bảo mật: Nếu không thể xác thực vấn đề hoặc không chứng minh được vấn đề bắt nguồn trong một sản phẩm của AWS, chúng tôi sẽ chia sẻ điều này với bạn.
  3. Phân loại lỗ hổng bảo mật: AWS dùng phiên bản 3.1 của Hệ thống chấm điểm lỗ hổng bảo mật chung (CVSS) để đánh giá các lỗ hổng bảo mật tiềm ẩn. Điểm số nhận được giúp chúng tôi xác định mức độ nghiêm trọng của vấn đề và ưu tiên hành động phản hồi của mình. Để biết thêm thông tin về CVSS, vui lòng tham khảo trang web NVD.
Vui lòng liên hệ với đại diện kinh doanh AWS
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn muốn khám phá vai trò bảo mật?
Đăng ký ngay hôm nay »
Bạn muốn cập nhật thông tin về Bảo mật AWS?
Theo dõi chúng tôi trên Twitter »