Проверка уязвимостей
Политика поддержки клиентов AWS при проведении проверки уязвимостей
Клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры для сервисов AWS, перечисленных в пункте «Разрешенные сервисы» ниже. Кроме того, AWS разрешает клиентам размещать свои инструменты оценки безопасности внутри IP-пространства AWS или другого поставщика облачных услуг для проведения локальных (в AWS) испытаний или испытаний с привлечением третьей стороны. Для проведения испытаний безопасности, которое включает механизм управления и контроля (C2), необходимо предварительное согласование.
При этом необходимо убедиться, что выполняемые действия соответствуют приведенным ниже политикам. Примечание. Клиенты не имеют права проводить какие‑либо самостоятельные оценки безопасности инфраструктуры или сервисов AWS. Если в ходе оценки безопасности вы столкнулись с какой‑либо уязвимостью в любом из сервисов AWS, просим незамедлительно связаться с отделом безопасности AWS.
Если AWS получит сообщение о возможных нарушениях в отношении действий, связанных с проводимым вами испытанием системы безопасности, оно будет перенаправлено вам. При ответе просьба предоставить подробное пояснение сценария использования, а также контактные данные, которые можно будет передать составителям отчетов третьих сторон. Подробнее см. здесь.
Торговые посредники сервисов AWS несут ответственность за испытания безопасности, проводимые их клиентами.
Политика поддержки клиентов при проведении проверки уязвимостей
Разрешенные сервисы:
- инстансы Amazon EC2, WAF, шлюзы NAT и Эластичные балансировщики нагрузки;
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- API шлюзы Amazon;
- AWS AppSync
- AWS Lambda и функции Lambda Edge;
- ресурсы Amazon Lightsail;
- среды Amazon Elastic Beanstalk;
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch;
- Amazon FSx;
- Amazon Transit Gateway;
- размещенные на S3 приложения (выявление корзин S3 категорически запрещено).
Если клиенты заинтересованы в тестировании неодобренных сервисов, им необходимо напрямую обратиться в службу поддержки AWS или к своему представителю по обслуживанию клиентов.
Запрещенные действия:
- перемещение по зонам DNS с использованием зон хостинга Amazon Route 53;
- перехват DNS с использованием Route 53;
- фарминг DNS с использованием Route 53;
- атаки типа «отказ в обслуживании» (DoS), атаки типа «распределенный отказ в обслуживании» (DDoS), имитации атак типа DoS и DDoS (на них распространяется политика тестирования путем моделирования DDoS-атак); флудинг портов;
- флудинг протоколов;
- флудинг запросами (например, флудинг запросами на вход или запросами API).
Другие виды тестирования
Тестирование с участием «красных», «синих» и «фиолетовых» команд
Тестирование с участием «красных», «синих» и «фиолетовых» команд – это моделирование атак и механизмов защиты, предназначенное для проверки осведомленности о безопасности организации и ее времени реагирования.
Клиенты, заинтересованные в выполнении скрытого моделирования атак и механизмов защиты и/или размещении механизма управления и контроля (C2), должны отправить форму видов тестирования для рассмотрения.
Тестирование устойчивости сети
Стресс-тестирование – это тест производительности, при котором большой объем легитимного или тестового трафика отправляется конкретному целевому приложению, чтобы убедиться в эффективности операционных ресурсов. Ожидается, что в рамках тестирования приложение конечной точки выполнит свою предполагаемую функцию. Любая попытка превысить возможности цели будет считаться отказом в обслуживании (DoS).
Клиенты, желающие выполнить стресс-тестирование сети, должны ознакомиться с политикой его проведения.
Тестирование с помощью iPerf
iPerf – это инструмент для измерения и настройки производительности сети. Это кроссплатформенный инструмент, который может выполнять стандартизированные измерения производительности для любой сети.
Клиенты, заинтересованные в проведении проверки с помощью iPerf, должны отправить форму видов тестирования для рассмотрения.
Тестирование путем моделирования DDoS-атак
Атаки типа «распределенный отказ в обслуживании» (DDoS) происходят в тех случаях, когда злоумышленники используют поток трафика из многих источников, пытаясь воздействовать на доступность целевого приложения. Тестирование путем моделирования DDoS-атак использует контролируемую DDoS-атаку, чтобы владелец приложения мог оценить его отказоустойчивость и проработать реакцию на событие.
Клиенты, желающие провести проверку путем моделирования DDoS-атак, должны ознакомиться с нашей политикой тестирования путем моделирования DDoS-атак.
Тест на фишинг
Тест на фишинг – это имитация атак социальной инженерии, целью которых является получение конфиденциальных данных пользователей. Его проводят, чтобы выявить уязвимых пользователей и научить их отличать подлинные электронные письма от фишинговых и в конечном итоге повысить уровень безопасности организации.
Клиенты, заинтересованные в проведении проверки на фишинг, должны отправить форму видов тестирования для рассмотрения.
Тестирование на выявление вредоносных программ
Тестирование на выявление вредоносных программ – это методика, при которой для улучшения функций безопасности вредоносные файлы или программы анализируются приложениями либо антивирусными программами.
Клиенты, заинтересованные в проведении проверки на выявление вредоносных программ, должны отправить форму видов тестирования для рассмотрения.
Заявка на авторизацию для использования других видов тестирования
AWS будет поддерживать связь с вами и информировать о продвижении рассмотрения заявки. Чтобы связаться с нами напрямую, отправьте форму видов тестирования. (Для клиентов, работающих в регионе AWS «Китай (Нинся и Пекин)»: пользуйтесь этой формой видов тестирования.)
В своем сообщении укажите дату тестирования; идентификатор аккаунта и ресурсы, включенные в тестирование; контактную информацию, в том числе номер телефона и подробное описание запланированных мероприятий. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.
Все запросы на проведение тестирования необходимо отправить AWS не позже чем за 2 (две) недели до даты начала тестирования.
Завершение тестирования
После получения авторизации никаких дополнительных действий со стороны клиента не требуется. Тестирование необходимо завершить до конца указанного вами периода.
Условия и положения
Все испытания безопасности должны проводиться в соответствии с условиями и положениями о проведении испытаний безопасности AWS.
Испытание безопасности:
- должно быть ограничено сервисами, пропускной способностью сети, количеством запросов в минуту и типом инстансов;
- должно регламентироваться пользовательским соглашением об использовании Amazon Web Services между вами и AWS;
- должно проводится в соответствии с политикой AWS в отношении использования инструментов и сервисов оценки безопасности, включенных в следующий подраздел.
Сведения о любых найденных уязвимостях и других проблемах, которые являются прямым результатом работы инструментов или сервисов AWS, должны быть направлены в отдел безопасности AWS в течение 24 часов с момента завершения испытания.
Политика AWS в отношении использования инструментов и сервисов оценки безопасности
Политика AWS в отношении использования инструментов и сервисов оценки безопасности допускает значительную гибкость при проведении оценок безопасности ресурсов AWS, одновременно защищая других пользователей и гарантируя стабильное качество обслуживания в пределах AWS.
AWS понимает, что существует большое многообразие публичных, частных, коммерческих инструментов и сервисов, пригодных для проведения оценки безопасности ресурсов AWS, а также инструментов и сервисов с открытым исходным кодом. Термин «оценка безопасности» включает в себя любые действия, предпринимаемые для определения наличия и эффективности мер безопасности в отношении ресурсов AWS, например сканирование портов, сканирование / проверки на предмет уязвимости, проверки уязвимостей, проверки на подверженность эксплойтам, сканирование интернет‑приложениями, а также любые формы внедрения кода, подделок или отвлекающих действий, проводимых удаленно, среди / между принадлежащих клиенту ресурсов AWS, а также локально в пределах виртуализированных ресурсов.
Мы НЕ ограничиваем клиентов в выборе инструментов или сервисов для оценки безопасности используемых ресурсов AWS. При этом ЗАПРЕЩАЕТСЯ использовать какие‑либо инструменты или сервисы для выполнения атак типа «отказ в обслуживании» (DoS) или имитировать их по отношению к ЛЮБЫМ ресурсам AWS, как собственным, так и принадлежащим другим клиентам. Клиенты, желающие провести тестирование путем моделирования DDoS-атак, должны ознакомиться с нашей политикой тестирования путем моделирования DDoS-атак.
Инструмент обеспечения безопасности, выполняющий удаленный запрос к используемому ресурсу AWS для определения имени и версии программного обеспечения и последующего их сравнения со списком версий, известных своей уязвимостью к DoS‑атакам (например, banner grabbing), НЕ нарушает эту политику.
Аналогичным образом инструмент или сервис обеспечения безопасности, который аварийно завершает работающий процесс на используемом ресурсе AWS (временно или иным образом), если это необходимо для удаленного или локального использования в рамках оценки безопасности, НЕ нарушает эту политику. Однако такие инструменты НЕЛЬЗЯ использовать для флудинга запросами по определенному протоколу или флудинга запросами на выделение ресурса, как было упомянуто выше.
Инструменты или сервисы обеспечения безопасности, создающие, определяющие существование или демонстрирующие условия для реального выполнения атак типа DoS или их моделирования ЛЮБЫМ другим способом, категорически запрещены.
Некоторые инструменты или сервисы включают в себя скрытые или встроенные возможности для выполнения описанных атак типа DoS при использовании ненадлежащим образом. Кроме того, они могут быть оформлены в виде явного теста, проверки или иной возможности этого инструмента или сервиса. Любой инструмент или сервис обеспечения безопасности, который может использоваться для выполнения атак типа DoS, должен иметь явную возможность ОТКЛЮЧИТЬ, СБРОСИТЬ или иным образом ОБЕЗВРЕДИТЬ такую возможность. В противном случае этот инструмент или сервис ЗАПРЕЩАЕТСЯ использовать для проведения ЛЮБЫХ оценок безопасности.
Клиент AWS несет единоличную ответственность за (1) обеспечение правильной настройки инструментов и сервисов, используемых для оценки безопасности, и обеспечение успешной их работы, не допускающей выполнения или моделирования атак типа DoS, и (2) выполнение независимой проверки используемых инструментов и сервисов на предмет невыполнения атак типа DoS или их моделирования ПЕРЕД проведением оценки безопасности каких‑либо ресурсов AWS. Клиент AWS также несет ответственность за обеспечение надлежащего проведения оценки безопасности с соблюдением положений данной политики сторонними подрядчиками.
Кроме того, ответственность за любой ущерб, причиненный AWS или другим клиентам AWS в результате действий клиента по тестированию или оценке безопасности, также несет сам клиент.