滲透測試

適用於滲透測試的 AWS 客戶支援政策

歡迎 AWS 客戶對其 AWS 基礎架構進行安全評估或滲透測試,無需事先取得核准,即可使用列於下一節「許可的服務」下方的服務。 此外,AWS 允許客戶將其安全評估工具託管在 AWS IP 空間或其他雲端供應商內部,以進行內部部署、AWS 內或第三方合約中的測試。所有包含命令和控制 (C2) 的安全測試均需事先核准。

請務必保證這些活動符合以下政策。注意:客戶不得對 AWS 基礎設施或 AWS 服務本身進行任何安全評估。如果您在安全評估過程中發現任何 AWS 服務存在安全問題,請立即聯絡 AWS 安全部門

如果 AWS 收到與安全測試活動有關的濫用舉報,我們會將其轉送給您。請您在回覆時,以核准的語言詳述您的使用案例,並包含我們可與任何第三方報告者分享的聯絡人。在這裡進一步了解。

AWS 服務的經銷商負責其客戶的安全測試活動。

滲透測試的客戶服務政策

許可的服務

  • Amazon EC2 執行個體、WAF、NAT 閘道以及 Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS AppSync
  • AWS Lambda 和 Lambda Edge 函數
  • Amazon Lightsail 資源
  • Amazon Elastic Beanstalk 環境
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • Amazon Transit Gateway
  • S3 託管應用程式 (嚴禁將 S3 儲存貯體設為目標) 
客戶若想測試非核准服務,必須直接與 AWS Support 或您的客戶代表合作。 

禁止的活動

  • 透過 Amazon Route 53 託管區域的 DNS 區域遍歷
  • 透過 Route 53 進行 DNS 劫持
  • 透過 Route 53 進行 DNS 網址嫁接
  • 拒絕服務 (DoS)、分散式拒絕服務 (DDoS)、模擬 DoS、模擬 DDoS (這些均受 DDoS 模擬測試政策約束 連接埠泛洪攻擊
  • 協定泛洪攻擊
  • 請求泛洪攻擊 (登入請求泛洪攻擊、API 請求泛洪攻擊)

其他模擬事件

紅/藍/紫隊測試


紅/藍/紫軍測試是一種對抗性安全模擬,目的在於測試組織的安全意識和回應時間

客戶若想秘密執行對抗性安全模擬及/或託管命令和控制 (C2),必須提交模擬事件表單以供審查。 

網路壓力測試


壓力測試是一種效能測試,會傳送大量合法或測試流量到特定的目標應用程式,以確保其具有足夠的營運能力。在測試中,端點應用程式應執行延伸功能。任何嘗試癱瘓目標的行為都會視為拒絕服務 (DoS)。

若客戶希望進行網路壓力測試,應參閱我們的壓力測試政策。 

iPerf 測試


iPerf 是用來測量和微調網路效能的工具。這項跨平台工具能為任何網路進行標準化效能測量。

客戶若想執行 iPerf 測試,必須提交模擬事件表單以供審查。 

DDoS 模擬測試


當攻擊者使用多個來源的大量流量嘗試影響目標應用程式的可用性時,就會發生分散式拒絕服務 (DDoS) 攻擊。DDoS 模擬測試使用受控 DDoS 攻擊,讓應用程式擁有者能夠評估應用程式的彈性並練習事件回應。

客戶若希望執行 DDoS 模擬測試,應檢閱我們的 DDoS 模擬測試政策。 

模擬網路釣魚攻擊


模擬網路釣魚攻擊會模擬嘗試從使用者身上取得敏感資訊的社交工程攻擊。目標在於識別使用者並教導他們分辨有效和網路釣魚電子郵件的差異,以提升組織安全性。

客戶若想執行模擬網路釣魚攻擊,必須提交模擬事件表單以供審查。 

惡意程式碼測試


惡意程式碼測試會將惡意檔案或程式交由應用程式或防毒程式處理,以提升安全功能。

如果客戶想執行惡意程式碼測試,必須提交模擬事件表單以供審查。 

請求其他模擬事件授權


AWS 會儘速回覆,並讓您隨時了解進度。請提交模擬事件表單直接與我們聯絡。如果是在 AWS 中國 (寧夏和北京) 區域營運的客戶,請使用此模擬事件表單

請務必包括日期、涉及的帳戶 ID、涉及的資產和聯絡資訊,包括電話號碼和計劃中事件的詳細描述。在您初次聯繫之後的 2 個工作天內將收到一封非自動郵件回覆,確認我們已收到您的請求。

所有模擬事件請求都必須在開始日期前,至少提前兩 (2) 週提交至 AWS。

測試結論


收到我們的授權後,您不需要採取任何後續行動。您可以在指定的期間內進行測試。

條款與條件

所有安全測試必須符合這些 AWS 安全測試條款與條件。

安全測試︰

  • 將僅限於服務、網路頻寬、每分鐘請求數和執行個體類型。
  • 需遵守您與 AWS 之間的 Amazon Web Services 客戶協議
  • 將遵守 AWS 針對安全評估工具和服務所制定的使用政策 (包括在下文中)

若發現與 AWS 工具或服務直接有關的任何漏洞或其他問題,請務必在測試完成後的 24 小時內回報給 AWS 安全

關於使用安全評估工具和服務的 AWS 政策

AWS 關於安全評估工具和服務的使用政策為您的 AWS 資產執行安全評估提供極大的靈活性,同時保護了其他 AWS 客戶並確保 AWS 的服務品質。

AWS 了解目前有多種公有、私有、商業和/或開放原始碼工具和服務可供選擇,以便對您的 AWS 資產進行安全評估。「安全評估」一詞是指為確定 AWS 資產中安全控制的功效或存在而進行的所有活動,例如連接埠掃描、漏洞掃描/檢查、滲透測試、開採、Web 應用程式掃描,以及任何資料隱碼、偽造或模糊測試活動,而且攻擊途徑不外乎從遠端下指令攻擊您的 AWS 資產、在 AWS 資產之中/之間進行攻擊,或是在虛擬資產本身內部進行攻擊。

您可以選擇使用任何工具和服務執行 AWS 資產安全評估。但在使用任何工具或服務時禁止以拒絕服務 (DoS) 攻擊或模擬此類服務的方式攻擊任何 AWS 資產 (您的或其他)。客戶若希望執行 DDoS 模擬測試,應檢閱我們的 DDoS 模擬測試政策

為與已知易受 DoS 攻擊的版本清單進行比較,僅執行 AWS 資產遠端查詢以判斷軟體名稱和版本的安全工具 (例如 "banner grabbing"),並不違反此政策。

此外,為了在安全評估中進行必要的遠端或本機開採工作,而以臨時或其他方式損毀 AWS 資產執行中程序的安全工具或服務,並不違反此政策。但此工具不得用於上述協定泛洪攻擊或資源請求泛洪攻擊。

明確禁止以任何其他方式 (實際或模擬) 建立、判斷存在或重現 DoS 狀態的安全工具或服務。

有些工具或服務如果使用不當或作為工具或服務的明確測試/檢查或功能使用,將會無訊息包含或內含所描述的實際 DoS 功能。任何具有此類 DoS 功能的安全工具或服務都必須具有停用、解除該 DoS 功能或以其他方式無害呈現的明確能力。否則,該工具或服務不能用於安全評估的任何面向。

AWS 客戶需單獨負責:(1) 確保用於執行安全評估的工具和服務經過適當設定,且可以不執行 DoS 攻擊或此類模擬的方式成功操作,以及 (2) 在任何 AWS 資產的安全評估之前,獨立驗證採用的工具或服務不會執行 DoS 攻擊或模擬此類攻擊。此 AWS 客戶責任包括確保簽訂合約的第三方以不違反此政策的方式執行安全評估。

此外,您需負責您的測試或安全評估活動造成的 AWS 或其他 AWS 客戶的任何損失。

聯絡 AWS 業務代表
有問題? 聯繫 AWS 業務代表
探索安全職缺?
立即申請 »
需要 AWS 安全更新?
在 Twitter 上關注我們 »