AWSにおける侵入テスト申請が不要になった、でもやってはいけないこともある

シェアする

Voiced by Amazon Polly

AWSにおける侵入テスト申請(Penetration Testing Authorization)が不要になりました。でもやってはいけないこともあります。

今回の変更に関する概要は次のサイトに丸投げしておきます。
AWS、侵入テスト申請やめるってよ – とある診断員の備忘録

広告



で、やっちゃいけないことって何?

侵入テストが事前申請不要になったとはいえ、やってはいけないこともあります。
以下の情報はhttps://aws.amazon.com/security/penetration-testing/から持ってきて適当に訳したもの。

侵入テストが可能なサービスについて

侵入テストが可能なサービスは、現時点では次の通りです。

o Amazon EC2 instances, NAT Gateways, and Elastic Load Balancers
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateways
o AWS Lambda and Lambda Edge functions
o Amazon Lightsail resources
o Amazon Elastic Beanstalk environments

なお、Amazon CloudFrontに対する侵入テストに関しては、現時点ではAWS Complianceに連絡してNDAを結ぶ必要があります。

Private Preview and NDA – We’re currently operating a preview program for security assessments of the services below. Before conducting such assessments, please contact AWS Compliance to complete an NDA:

o Amazon Cloudfront

禁止事項

次にあげる事項が大まかな禁止事項です。

DNS zone walking via Amazon Route 53 Hosted Zones

→Route 53上でのDNSゾーンのスキャン行為(DNS zone walking)は禁止です。
特定のFQDNが存在するかどうかを調べるためにクエリを乱打してはいけません。

Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS

DoS攻撃やDDoS攻撃は禁止です。

Port flooding

→ポートフラッディングは禁止です。

Protocol flooding

→プロトコルフラッディングは禁止です。

Request flooding (login request flooding, API request flooding)

→APIに対する大量の攻撃や多数回のログイン試行による攻撃は禁止です。

基本的に、大量のリクエストを発生させる侵入テストに関しては禁止です。

A security tool or service that creates, determines the existence of, or demonstrates a DoS condition in ANY other manner, actual or simulated, is expressly forbidden.

Some tools or services include actual DoS capabilities as described, either silently/inherently if used inappropriately or as an explicit test/check or feature of the tool or service. Any security tool or service that has such a DoS capability, must have the explicit ability to DISABLE, DISARM, or otherwise render HARMLESS, that DoS capability. Otherwise, that tool or service may NOT be employed for ANY facet of the security assessment.

→DoS攻撃を行うようなセキュリティツールの使用は厳禁です。もしそのようなツールを使用する場合、DoS攻撃にかかわる機能は無効化する必要があります。