Kiểm thử thâm nhập

Kiểm thử môi trường AWS trước các tiêu chuẩn bảo mật xác định

Chính sách hỗ trợ khách hàng của AWS đối với Kiểm thử thâm nhập

Khách hàng AWS được khuyến khích thực hiện các đánh giá bảo mật hoặc kiểm thử thâm nhập cơ sở hạ tầng AWS của mình mà không cần có sự đồng ý trước đối với 8 dịch vụ được liệt kê ở phần tiếp theo trong mục “Các dịch vụ được cho phép”.

Vui lòng bảo đảm rằng các hoạt động này tuân theo chính sách được quy định bên dưới. Lưu ý: Khách hàng không được phép tự mình thực hiện bất kỳ đánh giá bảo mật cơ sở hạ tầng AWS hay dịch vụ AWS nào. Nếu phát hiện vấn đề bảo mật trong bất kỳ dịch vụ AWS nào trong quá trình đánh giá bảo mật, vui lòng liên hệ bộ phận Bảo mật AWS ngay lập tức.

Nếu AWS nhận được báo cáo lạm dụng cho các hoạt động liên quan đến việc kiểm thử bảo mật của bạn, chúng tôi sẽ chuyển tiếp báo cáo đó cho bạn. Khi trả lời, vui lòng cung cấp nguyên nhân gốc khiến hoạt động của bạn bị báo cáo, cũng như thông tin chi tiết về những gì bạn đã làm để ngăn tái diễn sự cố bị báo cáo. Tìm hiểu thêm ở đây.

Các bên bán lại dịch vụ AWS chịu trách nhiệm về hoạt động kiểm thử bảo mật của khách hàng.

Chính sách dịch vụ khách hàng đối với kiểm thử thâm nhập

Các dịch vụ được cho phép

  • Phiên bản Amazon EC2, Cổng NAT và Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • Hàm AWS Lambda và Lambda Edge
  • Tài nguyên Amazon Lightsail
  • Môi trường Amazon Elastic Beanstalk

Các hoạt động bị nghiêm cấm

  • Thăm dò vùng DNS thông qua Vùng được lưu trữ của Amazon Route 53
  • Từ chối dịch vụ (DoS), Từ chối dịch vụ phân tán (DDoS), DoS mô phỏng, DDoS mô phỏng (Những điều này tuân theo chính sách Kiểm tra mô phỏng DDoS)
  • Gây tràn cổng
  • Gây tràn giao thức
  • Gây tràn yêu cầu (gây tràn yêu cầu đăng nhập, gây tràn yêu cầu API)

Sự kiện mô phỏng khác

Yêu cầu cấp phép cho sự kiện mô phỏng khác

AWS cam kết sẽ phản hồi và giúp bạn cập nhật liên tục về tiến trình. Vui lòng gửi biểu mẫu Sự kiện mô phỏng để liên hệ trực tiếp với chúng tôi. (Đối với các khách hàng tại khu vực Trung Quốc của AWS (Ninh Hạ & Bắc Kinh), vui lòng sử dụng biểu mẫu Sự kiện mô phỏng này.)

Vui lòng cung cấp ngày, tài khoản và tài sản có liên quan, và thông tin liên hệ, bao gồm số điện thoại và mô tả chi tiết về sự kiện theo kế hoạch. Bạn sẽ nhận được phản hồi không tự động đến thông tin liên hệ ban đầu của bạn trong vòng 2 ngày làm việc xác nhận rằng chúng tôi đã nhận được yêu cầu của bạn.

Kết luận kiểm tra

Sau khi nhận được cấp phép, phía bạn sẽ không cần thực hiện thêm việc gì. Bạn sẽ có quyền thực hiện kiểm thử cho đến khi kết thúc kỳ hạn bạn đã nêu. 

Kiểm thử tính ổn định của mạng

Khách hàng muốn thực hiện Kiểm thử tính ổn định của mạng nên xem xét chính sách Kiểm thử tính ổn định của chúng tôi.  

Kiểm thử mô phỏng DDoS

Khách hàng muốn thực hiện kiểm thử mô phỏng DDoS nên xem xét chính sách Kiểm thử mô phỏng DDoS.

Điều khoản và điều kiện

Tất cả các hoạt động Kiểm thử bảo mật phải tuân thủ Điều khoản và điều kiện Kiểm thử bảo mật của AWS.

Kiểm thử bảo mật:

  • Sẽ bị giới hạn ở các dịch vụ, băng thông mạng, số yêu cầu mỗi phút và loại phiên bản
  • Phải tuân theo các điều khoản có trong Thỏa thuận khách hàng của Amazon Web Services giữa bạn và AWS
  • Sẽ phải tuân thủ chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật được nêu trong phần tiếp theo

Mọi phát hiện về lỗ hổng hoặc vấn đề khác là kết quả trực tiếp từ công cụ hoặc dịch vụ của AWS phải được chuyển đến bộ phậnAWS Security trong vòng 24 giờ sau khi hoàn thành kiểm thử.

Chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật

Chính sách của AWS về việc sử dụng công cụ và dịch vụ đánh giá bảo mật vừa cho phép sự linh động đáng kể trong việc thực hiện đánh giá bảo mật tài sản AWS của bạn, vừa bảo vệ các khách hàng AWS khác và bảo đảm chất lượng dịch vụ trên toàn AWS.

AWS hiểu rằng có nhiều công cụ và dịch vụ công khai, riêng tư, thương mại và/hoặc mã nguồn mở để chọn nhằm mục đích thực hiện đánh giá bảo mật tài sản AWS của bạn. Thuật ngữ "đánh giá bảo mật" được dùng để chỉ tất cả hoạt động có liên quan nhằm mục đích xác định hiệu quả hoặc sự tồn tại của các biện pháp kiểm soát bảo mật trong tài sản AWS của bạn, ví dụ: quét cổng, quét/kiểm tra lỗ hổng, kiểm thử thâm nhập, khai thác, quét ứng dụng web cũng như mọi hoạt động lồng ghép, làm giả hoặc kiểm thử mờ, được thực hiện từ xa trên tài sản AWS của bạn, trong/giữa các tài sản AWS của bạn hay thực hiện cục bộ trong chính các tài sản ảo hóa.

Bạn KHÔNG bị giới hạn lựa chọn công cụ hay dịch vụ để thực hiện đánh giá bảo mật tài sản AWS của mình. Tuy nhiên, bạn BỊ nghiêm cấm sử dụng bất kỳ công cụ hay dịch vụ nào để thực hiện tấn công Từ chối dịch vụ (DoS) hay mô phỏng hành vi đó đối với MỌI tài sản của AWS, tài sản của bạn hoặc tài sản khác. Khách hàng muốn thực hiện kiểm thử mô phỏng DDoS nên xem xét chính sách Kiểm thử mô phỏng DDoS.

Công cụ bảo mật chỉ thực hiện truy vấn từ xa tài sản AWS của bạn để xác định tên và phiên bản phần mềm, ví dụ như "lấy biểu ngữ", nhằm mục đích so sánh với danh sách phiên bản đã xác định là có lỗ hổng DoS KHÔNG vi phạm chính sách này.

Ngoài ra, công cụ hoặc dịch vụ bảo mật làm gián đoạn quy trình đang chạy trên tài sản AWS của bạn, bất kể có tạm thời hay không, vốn là yêu cầu cần thiết để khai thác từ xa hoặc cục bộ, thuộc khuôn khổ đánh giá bảo mật KHÔNG vi phạm chính sách này. Tuy nhiên, công cụ này KHÔNG được phép tham gia gây tràn giao thức hoặc gây tràn yêu cầu tài nguyên, như được đề cập ở trên.
Công cụ hoặc dịch vụ có chức năng tạo, xác định sự tồn tại của, hoặc minh họa điều kiện tấn công DoS theo BẤT KỲ hình thức nào, bất kể là thực tế hay mô phỏng, đều bị nghiêm cấm rõ ràng.

Một số công cụ hoặc dịch vụ có bao gồm khả năng tấn công DoS thực tế theo mô tả, bất kể là âm thầm/thực chất nếu được sử dụng một cách sai trái hoặc dưới dạng kiểm thử/kiểm tra rõ ràng hoặc tính năng của công cụ hoặc dịch vụ. Mọi công cụ hoặc dịch vụ bảo mật có khả năng tấn công DoS như vậy, phải có khả năng rõ ràng trong việc VÔ HIỆU HÓA, TẮT KÍCH HOẠT hoặc làm khả năng DoS đó trở nên VÔ HẠI theo cách khác. Nếu không, KHÔNG được sử dụng công cụ hoặc dịch vụ đó cho BẤT KỲ thuộc tính nào của đánh giá bảo mật.

Khách hàng của AWS chịu hoàn toàn trách nhiệm cho việc: (1) bảo đảm các công cụ hoặc dịch vụ được dùng để thực hiện đánh giá bảo mật đều được cấu hình đúng cách và hoạt động thành công theo cách thức không thực hiện tấn công hoặc mô phỏng DoS và hoạt động tương tự, (2) xác thực độc lập rằng các công cụ hoặc dịch vụ được dùng không thực hiện tấn công hoặc mô phỏng DoS và hoạt động tương tự, TRƯỚC khi thực hiện đánh giá bảo mật bất kỳ tài sản AWS nào. Trách nhiệm của khách hàng AWS bao gồm việc bảo đảm giao cho bên thứ ba thực hiện đánh giá bảo mật sao cho không vi phạm chính sách này.

Hơn nữa, bạn chịu trách nhiệm về mọi thiệt hại cho AWS hoặc bất kỳ khách hàng AWS nào khác do hoạt động kiểm thử hoặc đánh giá bảo mật của bạn gây ra.

Vui lòng liên hệ với đại diện kinh doanh AWS
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn muốn khám phá vai trò bảo mật?
Đăng ký ngay hôm nay »
Bạn muốn cập nhật thông tin về Bảo mật AWS?
Theo dõi chúng tôi trên Twitter »