AWSにおける侵入テスト申請が不要になった、でもやってはいけないこともある

シェアする

Voiced by Amazon Polly

推奨事項

次の事項が推奨事項として挙げられています。

Rate limits – To ensure your testing is successful, please limit your scanning to 1Gbps or 10,000 RPS.

→1Gbps、もしくは1万リクエスト/秒を超えないようにテストすべきです。

Instance Types – We recommend excluding the following EC2 instance types from your security assessments to minimize potential disruption to your environment
o T3.nano
o T2.nano
o T1.micro
o M1.small

→小さなインスタンス、具体的にはt3.nano, t2.nano, t1.micro, m1.smallに対する侵入テストは推奨されません。
Lightsailの3.5USDプランも、中身はt2.nanoなので侵入テストに使用すべきではないでしょう。

Testing IP Addresses – Because of the dynamic nature of a cloud environment, all IP addresses should be verified prior to the beginning of a test to ensure current ownership of the IP address.

攻撃テスト前に、IPアドレスが自分のものであるかよく確認すべきです。リソースに割り当てられたIPアドレスは変更されることがあります。間違えて他人のリソースに対して侵入テストを行ってしまうと大変です。

ポリシー違反にならない事項

DoS攻撃やDDoS攻撃にかかわるものでも、次の事項はポリシー違反になりません。

A security tool that solely performs a remote query of your AWS asset to determine a software name and version, such as “banner grabbing,” for the purpose of comparison to a list of versions known to be vulnerable to DoS, is NOT in violation of this policy.

→DoS攻撃に弱いバージョンを探るためのbanner grabbing行為はポリシー違反にはなりません。

Additionally, a security tool or service that solely crashes a running process on your AWS asset, temporary or otherwise, as necessary for remote or local exploitation as part of the security assessment, is NOT in violation of this policy. However, this tool may NOT engage in protocol flooding or resource request flooding, as mentioned above.

自AWSリソース内のプロセスをクラッシュさせるような侵入テストはポリシー違反にはなりません。ただし、フラッディングを起こしてはいけません。

広告



まとめ

一通り目を通してみましたが、基本的に大量のリクエストを発生させることで成立する侵入テストに関しては禁止となっている様子です。DDoS攻撃に対する試験はアウトということです。
あとは、必ず侵入テスト実施前に、テストするIPアドレスが自分のリソースかどうかを確認することでしょうか。クラウド環境ではIPアドレスの割り当てが変更されることもあります。

敢えて書きませんでしたが、もし侵入テストの過程でAWSのインフラ自体に脆弱性を見つけた場合、24時間以内に指定のメールアドレスへの連絡が必要です(メールアドレスは侵入テストのページに記載されています)。