การทดสอบการเจาะข้อมูล

นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบ

ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือทดสอบการเจาะข้อมูลโครงสร้างพื้นฐานของ AWS ได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการ 8 ประเภทที่อยู่ในส่วนถัดไปใน “บริการที่อนุญาต” นอกจากนี้ AWS ยังอนุญาตให้ลูกค้าโฮสต์เครื่องมือประเมินความปลอดภัยภายในพื้นที่ IP ของ AWS หรือผู้ให้บริการระบบคลาวด์อื่นๆ สำหรับการทดสอบภายในองค์กร ใน AWS หรือบุคคลที่สามตามสัญญา การทดสอบความปลอดภัยทั้งหมดที่มี Command and Control (C2) ต้องได้รับการอนุมัติล่วงหน้า

โปรดตรวจสอบว่ากิจกรรมเหล่านี้สอดคล้องกับนโยบายที่กำหนดไว้ด้านล่าง หมายเหตุ: ไม่อนุญาตให้ลูกค้าทำการประเมินความปลอดภัยของโครงสร้างพื้นฐานของ AWS หรือบริการของ AWS ด้วยตนเอง หากพบปัญหาด้านความปลอดภัยภายในบริการของ AWS ในระหว่างการสำรวจความปลอดภัยของคุณ โปรดติดต่อศูนย์ความปลอดภัยของ AWS ทันที

หาก AWS ได้รับรายงานการละเมิดเกี่ยวกับกิจกรรมที่เกี่ยวข้องกับการทดสอบความปลอดภัยของคุณ เราจะส่งต่อให้คุณ เมื่อตอบกลับ โปรดระบุภาษาที่ได้รับอนุมัติซึ่งระบุรายละเอียดกรณีใช้งานของคุณ รวมถึงช่องทางติดต่อที่เราสามารถแบ่งปันกับผู้รายงานที่เป็นบุคคลที่สาม เรียนรู้เพิ่มเติมที่นี่

ตัวแทนจำหน่ายของบริการของ AWS มีหน้าที่รับผิดชอบกิจกรรมการทดสอบความปลอดภัยของลูกค้า

นโยบายการบริการลูกค้าสำหรับการทดสอบการเจาะข้อมูล

บริการที่ได้รับอนุญาต

  • อินสแตนซ์ Amazon EC2, WAF, เกตเวย์ NAT และ Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • เกตเวย์ของ Amazon API
  • AWS AppSync
  • AWS Lambda และฟังก์ชัน Lambda Edge
  • ทรัพยากร Amazon Lightsail
  • สภาพแวดล้อม Amazon Elastic Beanstalk
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • Amazon Transit Gateway
  • แอปพลิเคชันที่โฮสต์ S3 (ห้ามกำหนดเป้าหมายบัคเก็ต S3 โดยเด็ดขาด) 
ลูกค้าที่ต้องการทดสอบบริการที่ไม่ได้รับการอนุมัติจะต้องทำงานโดยตรงกับ AWS Support หรือตัวแทนบัญชีของคุณ 

กิจกรรมต้องห้าม

  • DNS Zone Walking ผ่านโซนที่ Amazon Route 53 โฮสต์ไว้
  • การไฮแจ็ก DNS ผ่าน Route 53
  • การฟาร์ม DNS ผ่าน Route 53
  • การโจมตีแบบ Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS (การโจมตีเหล่านี้อยู่ภายใต้ นโยบายการทดสอบการจำลอง DDoS การกระจายพอร์ต
  • การกระจายโปรโตคอล
  • การกระจายคำขอ (การกระจายคำขอเข้าสู่ระบบ, การกระจายคำขอ API)

เหตุการณ์จำลองอื่นๆ

การทดสอบทีมสีแดง/น้ำเงิน/ม่วง

การทดสอบทีมสีแดง/สีน้ำเงิน/สีม่วงเป็นการจำลองสถานการณ์ด้านความปลอดภัยของฝ่ายตรงข้ามที่ออกแบบมาเพื่อทดสอบการรับรู้ด้านความปลอดภัยขององค์กรและเวลาตอบสนอง

ลูกค้าที่ต้องการจำลองการรักษาความปลอดภัยแบบแอบแฝงและ/หรือการโฮสต์คำสั่งและการควบคุม (C2) จะต้องส่งแบบเหตุการณ์จำลองเพื่อตรวจสอบ 

การทดสอบความแข็งแกร่งของเครือข่าย

การทดสอบความเครียดคือการทดสอบประสิทธิภาพการส่งโวลุมเยอะที่ถูกต้องหรือทดสอบการรับส่งข้อมูลที่ส่งไปยังแอปพลิเคชันเป้าหมายที่ตั้งใจไว้เพื่อให้แน่ใจว่ามีความสามารถในการปฏิบัติที่มีประสิทธิภาพ แอปพลิเคชันตำแหน่งข้อมูลควรทำหน้าที่ตามที่ตั้งไว้ซึ่งเป็นส่วนหนึ่งของการทดสอบ ความพยายามใด ๆ ที่จะครอบงำเป้าหมายถือเป็นการปฏิเสธการให้บริการ (DoS)

ลูกค้าที่ต้องการดำเนินการทดสอบความแข็งแกร่งของเครือข่ายควรตรวจสอบนโยบายการทดสอบความแข็งแกร่งของเรา 

การทดสอบ iPerf

iPerf เป็นเครื่องมือสำหรับการวัดและปรับแต่งประสิทธิภาพเครือข่าย เป็นเครื่องมือข้ามแพลตฟอร์มที่สร้างการวัดประสิทธิภาพที่เป็นมาตรฐานสำหรับเครือข่ายใดก็ได้

ลูกค้าที่ต้องการทดสอบ iPerf จะต้องส่งแบบเหตุการณ์จำลองเพื่อตรวจสอบ 

การทดสอบการจำลอง DDoS

การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) เกิดขึ้นเมื่อผู้โจมตีใช้การรับส่งข้อมูลจำนวนมากจากหลายแหล่งเพื่อพยายามส่งผลกระทบต่อความพร้อมใช้งานของแอปพลิเคชันเป้าหมาย การทดสอบการจำลอง DDoS ใช้การโจมตี DDoS ที่มีการควบคุมเพื่อให้เจ้าของแอปพลิเคชันสามารถประเมินความยืดหยุ่นของแอปพลิเคชันและฝึกฝนการตอบสนองต่อเหตุการณ์

ลูกค้าที่ต้องการดำเนินการทดสอบการจำลอง DDoS ควรตรวจสอบนโยบายการทดสอบการจำลอง DDoS 

ฟิชชิ่งจำลอง

ฟิชชิ่งจำลองเป็นการจำลองการโจมตีแบบวิศวกรรมสังคมที่พยายามรับข้อมูลที่ละเอียดอ่อนจากผู้ใช้ เป้าหมายคือระบุผู้ใช้และให้ความรู้แก่พวกเขาเกี่ยวกับความแตกต่างระหว่างอีเมลที่ถูกต้องและอีเมลฟิชชิ่งเพื่อเพิ่มความปลอดภัยให้กับองค์กร

ลูกค้าที่ต้องการทดสอบแคมเปญฟิชชิ่งจำลองจะต้องส่งแบบเหตุการณ์จำลองเพื่อตรวจสอบ 

การทดสอบมัลแวร์

การทดสอบมัลแวร์เป็นวิธีส่งไฟล์หรือโปรแกรมที่เป็นอันตรายไปยังแอปพลิเคชันหรือโปรแกรมป้องกันไวรัสเพื่อปรับปรุงคุณสมบัติความปลอดภัย

ลูกค้าที่ต้องการทดสอบมัลแวร์จะต้องส่งแบบเหตุการณ์จำลองเพื่อตรวจสอบ 

การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ

AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ โปรดส่งแบบเหตุการณ์จำลองเพื่อติดต่อเราโดยตรง (สำหรับลูกค้าที่ปฏิบัติงานใน AWS Region จีน (หนิงเซี่ยและปักกิ่ง) โปรดใช้แบบฟอร์มเหตุการณ์จำลองนี้)

โปรดอย่าลืมระบุวันที่ รหัสบัญชีที่เกี่ยวข้อง แอสเซทที่เกี่ยวข้อง และข้อมูลการติดต่อ รวมถึงหมายเลขโทรศัพท์ และคำอธิบายโดยละเอียดถึงเหตุการณ์ที่วางแผนไว้ คุณควรคาดหวังว่าจะได้รับการตอบกลับแบบไม่อัตโนมัติหลังจากที่คุณติดต่อครั้งแรกภายใน 2 วันทำการ โดยเป็นการยืนยันว่าเราได้รับคำขอจากคุณแล้ว

คำขอเหตุการณ์จำลองทั้งหมดจะต้องส่งไปยัง AWS อย่างน้อยสอง (2) สัปดาห์ก่อนวันเริ่มต้น

ข้อสรุปการทดสอบ

คุณไม่จำเป็นต้องดำเนินการใดๆ หลังจากที่คุณได้รับอนุมัติจากเรา คุณสามารถดำเนินการทดสอบของคุณตลอดช่วงระยะเวลาที่คุณระบุได้

ข้อกำหนดและเงื่อนไข

การทดสอบความปลอดภัยทั้งหมดจะต้องเป็นไปตามข้อกำหนดและเงื่อนไขการทดสอบความปลอดภัยของ AWS เหล่านี้

การทดสอบการรักษาความปลอดภัย:

  • จะจำกัดเฉพาะบริการ แบนด์วิดท์เครือข่าย คำขอต่อนาที และประเภทอินสแตนซ์
  • เป็นไปตามข้อตกลงของลูกค้า Amazon Web Services ระหว่างคุณและ AWS
  • จะปฏิบัติตามนโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย ซึ่งระบุไว้ด้านล่าง

การค้นพบช่องโหว่หรือปัญหาอื่นๆ ที่เป็นผลโดยตรงจากเครื่องมือหรือบริการของ AWS จะต้องแจ้งไปยังฝ่ายการรักษาความปลอดภัยของ AWS ภายใน 24 ชั่วโมงหลังจากเสร็จสิ้นการทดสอบ

นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัย

นโยบายของ AWS เกี่ยวกับการใช้เครื่องมือและบริการประเมินความปลอดภัยช่วยให้มีความยืดหยุ่นอย่างมากในการดำเนินการประเมินความปลอดภัยของแอสเซท AWS ของคุณในขณะที่ปกป้องลูกค้า AWS รายอื่น และสร้างความมั่นใจในคุณภาพการบริการทั่วทั้ง AWS

AWS เข้าใจดีว่ามีเครื่องมือและบริการสาธารณะ ภาคเอกชน เชิงพาณิชย์ และ/หรือโอเพนซอร์สที่หลากหลายให้เลือกเพื่อวัตถุประสงค์ในการประเมินความปลอดภัยของแอสเซท AWS ของคุณ คำว่า “การประเมินความปลอดภัย” หมายถึงกิจกรรมทั้งหมดที่กระทำเพื่อวัตถุประสงค์ในการกำหนดประสิทธิภาพหรือการดำรงอยู่ของการควบคุมความปลอดภัยในแอสเซท AWS ของคุณ เช่น การสแกนพอร์ต การสแกน/การตรวจสอบช่องโหว่ การทดสอบการเจาะข้อมูล การแสวงหาประโยชน์ การสแกนเว็บแอปพลิเคชัน รวมถึงกิจกรรมการฉีด การปลอมแปลง หรือการทำให้คลุมเครือ ไม่ว่าจะดำเนินการกับแอสเซท AWS ของคุณจากระยะไกล ท่ามกลาง/ระหว่างแอสเซท AWS ของคุณ หรือภายในแอสเซทเสมือนจริงเอง

คุณไม่ได้ถูกจำกัดในการเลือกเครื่องมือหรือบริการเพื่อทำการประเมินความปลอดภัยของแอสเซท AWS ของคุณ อย่างไรก็ตาม เราไม่อนุญาตให้คุณใช้เครื่องมือหรือบริการใดๆ ในลักษณะที่เป็นการโจมตีแบบ Denial-of-Service (DoS) หรือการจำลองสถานการณ์เช่นนั้นกับแอสเซท AWS ไม่ว่าจะเป็นของคุณหรือของผู้อื่น ลูกค้าที่ต้องการดำเนินการทดสอบการจำลอง DDoS ควรตรวจสอบนโยบายการทดสอบการจำลอง DDoS

เครื่องมือรักษาความปลอดภัยที่ดำเนินการสอบถามระยะไกลของแอสเซท AWS ของคุณเพื่อตรวจสอบชื่อและรุ่นซอฟต์แวร์ เช่น “Banner Grabbing” เพื่อจุดประสงค์ในการเปรียบเทียบกับรายการรุ่นที่ทราบว่ามีช่องโหว่ต่อ DoS ไม่ถือว่าเป็นการละเมิดนโยบายนี้

นอกจากนี้ เครื่องมือหรือบริการรักษาความปลอดภัยที่ทำให้กระบวนการทำงานบนแอสเซท AWS ของคุณขัดข้องเพียงชั่วคราวหรือถาวร เนื่องจากจำเป็นสำหรับการใช้ประโยชน์จากระยะไกลหรือในพื้นที่ซึ่งเป็นส่วนหนึ่งของการประเมินความปลอดภัย ไม่ถือว่าเป็นการละเมิดนโยบายนี้ อย่างไรก็ตาม เครื่องมือนี้ไม่สามารถทำการกระจายโปรโตคอลหรือการกระจายคำขอทรัพยากรได้ตามที่กล่าวไว้ข้างต้น

เครื่องมือหรือบริการรักษาความปลอดภัยที่สร้าง กำหนดการมีอยู่ของ หรือแสดงให้เห็นถึงเงื่อนไขของ DoS ในลักษณะอื่น ไม่ว่าจะจริงหรือจำลองถือเป็นสิ่งต้องห้ามอย่างชัดเจน

เครื่องมือหรือบริการบางอย่างมีความสามารถของ DoS จริงตามที่อธิบายไว้ ไม่ว่าจะเป็นโดยลักลอบ/โดยเนื้อแท้ หากใช้อย่างไม่เหมาะสมหรือใช้เป็นการทดสอบ/การตรวจสอบ หรือใช้เป็นคุณสมบัติของเครื่องมือหรือบริการอย่างชัดเจน เครื่องมือหรือบริการรักษาความปลอดภัยใดที่มีความสามารถ DoS ดังกล่าว จะต้องมีความสามารถที่ชัดเจนในการปิดใช้งาน ปลด หรือทำให้ความสามารถ DoS นั้นไม่เป็นอันตราย มิฉะนั้นจะไม่สามารถใช้เครื่องมือหรือบริการดังกล่าวเพื่อการประเมินความปลอดภัยในทุกๆ ด้าน

ซึ่งเป็นความรับผิดชอบของลูกค้า AWS แต่เพียงผู้เดียวที่จะ (1) ตรวจสอบว่าเครื่องมือและบริการที่ใช้ดำเนินการประเมินความปลอดภัยได้รับการกำหนดค่าอย่างเหมาะสม และทำงานเป็นผลสำเร็จในลักษณะที่ไม่เป็นการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้น และ (2) ตรวจสอบเองว่าเครื่องมือหรือบริการที่ใช้ไม่ได้ทำการโจมตีแบบ DoS หรือจำลองสถานการณ์เช่นนั้นก่อนที่จะทำการประเมินความปลอดภัยของแอสเซทใดๆ ของ AWS ความรับผิดชอบของลูกค้า AWS นี้รวมถึงการตรวจสอบว่าบุคคลที่สามที่ทำสัญญาดำเนินการประเมินความปลอดภัยในลักษณะที่ไม่ละเมิดนโยบายนี้

นอกจากนี้ คุณต้องรับผิดชอบต่อความเสียหายต่อ AWS หรือลูกค้าของ AWS รายอื่นอันเกิดมาจากกิจกรรมการทดสอบหรือการประเมินความปลอดภัยของคุณ

ติดต่อตัวแทนธุรกิจของ AWS เลยวันนี้
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านความปลอดภัยใช่หรือไม่
สมัครวันนี้ »
ต้องการอัปเดตการรักษาความปลอดภัยของ AWS ใช่หรือไม่
ติดตามเราบน Twitter »