【2018年版】AWSの脆弱性テスト、侵入テストについて
2018年12月14日更新
DNS Zone Walkingは、許可されているリソースから除外されました
AWSの脆弱性テストと侵入テストについてのアップデート記事です。
AWS環境へ、またはAWS環境から侵入テストと脆弱性スキャンを実施する場合、 AWSで禁止されている行為と区別するために事前に侵入テストの承認を得る必要があります。
引用元侵入テスト
私たちの適正利用規約では、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為について説明しています。ただし、侵入テストと他のシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、AWS では AWS 環境への、または AWS 環境からの侵入テストと脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。
そのため、全ての脆弱性テストと侵入テストに許可が必要です。
脆弱性テストと侵入テストを申請するときのよくある質問と申請内容をご紹介します。
よくある質問
Q.侵入テストの対象はどのリソースが許可されていますか?
現在、以下リソースに対して許可されています。
- EC2
- RDS
- Aurora
- CloudFront
- API Gateway
- Lambda
- Lightsail
- DNS Zone Walking
ただし、m1.small、t1.micro、または t2.nano の EC2 インスタンス、 スモール RDS インスタンスまたはマイクロ RDS インスタンスのテストは許可されていません。
Q.侵入テストはどのくらいの期間で申請できますか?
申請の際、終了期間は開始日時より90日以内で申請する必要があります。
Q.AWSアカウント間での侵入テストを実施する場合、どちらのアカウントで申請しますか?
AWSアカウント間で侵入テストを実施する場合は 申請するアカウントはターゲットリソースを保有しているアカウントから申請します。
Q.AWSアカウント間での侵入テストを実施する場合、どのようにフォームに記載すればいいですか?
AWSアカウント間での侵入テストを実施する場合フォーム内で以下のようにAWSアカウントやインスタンスIDを明記します。
- (Target)AWSアカウントID:インスタンスID:IPアドレス
- (Source)AWSアカウントID:インスタンスID:IPアドレス
Q.直接アクセスされないEC2インスタンスに対しても申請が必要ですか?
直接アクセスされないEC2インスタンスに対しても、侵入テストの結果なにかしらのトラフィックが発生する場合は 直接アクセスがあるEC2インスタンスID及び直接アクセスはされないEC2インスタンスIDを記載し、コメントに内容を補足しておきます。
Q.侵入テスト実施期間中にEC2インスタンスをstop / startを実施するのでIPが変更されますが問題ないですか?
申請したIPアドレスの変更を防ぐため EC2インスタンスで期間中にstop/startが予定されている場合はEIPを推奨しています。
Q.ELB経由でのEC2へのテストは許可されますか?
はい、ELB経由でのEC2へのテストは申請可能です。
Q.Elastic Beanstalk 管理下のリソースについても侵入テストは実施できますか?
Elastic Beanstalke によって作成されたリソースは通常通り侵入テストが実施可能です。
Q.Fargate(ECS)への侵入テストは実施できますか?
可能です、申請の際はALB名を記載してください。
Q.Total Bandwidthの申請値を超えた場合、何か発生しますか?
Total Bandwidthの値は申請の可否を審査する目安となります。 多少の前後は問題ないですが、申請値を大きく超える見込みのある場合は修正値を連絡します。
Q.申請から承認までどのくらいの期間が必要ですか?
AWSからの返信は最長で2営業日かかります。 上記確認事項をチェックして申請しているとAWSとのやりとりが少なくて済みます。
申請内容について
侵入テストのリクエストフォームから申請をします。
- ※rootアカウントで実施
- ※英語で申請します
Contact Information
| 項目 | 内容 |
|---|---|
| Your Name:* | アカウント名 |
| Company Name* | 会社名 |
| Email Address | AWSアカウントのメールアドレス |
| Additional Email Address | CC:メールアドレス |
| Do you have an NDA with AWS | AWSとNDAがあるか Yes or No |
Target Data
| 項目 | 内容 |
|---|---|
| EC2 Resources | EC2インスタンスIDを記載 |
| Cloudfront Distribution | Cloudfrontのディストリビューションを記載 |
| API Gateway / Lambda | API 名 / Lambda関数名を記載 |
| RDS Resources | DBインスタンスIDを記載 |
| ELB Name | ELB名を記載 |
| Non-AWS Targets IP Addresses |
AWS以外がターゲットの場合 IP アドレスを記載 |
Source Data
| 項目 | 内容 |
|---|---|
| IP Address | スキャン元のIPアドレス |
| Is the above IP address located in your offices? | 上記IPアドレスがオフィスのIPアドレスかどうか Yes or No |
| Who owns the IP addresses? | スキャン元のIPアドレスの所有者は誰か |
| Phone contact for testing team: | テストチームの連絡先 |
| Does the testing company have a NDA with AWS? | テストする会社はAWSとNDAを結んでいるかどうか Yes or No |
Testing Details
| 項目 | 内容 |
|---|---|
| Expected peak bandwidth (Gbps):* | 予想されるピーク時の帯域幅 |
| Expected peak requests per second (RPS):* | 予想される1秒あたりのピークリクエスト数 |
| Expected peak Queries per second (QPS) for DNS Zone Walking | DNS Zone Walingで予想される1秒当たりのピーククエリー数 |
| Start Date and Time (YYYY-MM-DD HH:MM)* | 侵入テスト・脆弱性スキャンを実施する開始時刻 |
| End Date and Time (YYYY-MM-DD HH:MM)* | 侵入テスト・脆弱性スキャンを終了する時刻 |
| Additional testing details and why this testing is needed: | テストの詳細とこのテストが必要な理由 |
| What criteria/metrics will you monitor to ensure the success of this test? | テストの成功を確実にするために、どの基準/メトリクスを監視するか |
| Do you have a way to immediately stop the traffic if we/your discover any issue? | AWS、テスト実施側が問題を発見した場合、トラフィックを直ちに止める方法はあるか Yes or No |
| Please provide two emergency contacts (email and phone):* | 2つの緊急連絡先の電話番号とメールアドレス |
Terms and Conditions
I agreeにチェック
AWS’s Policy Regarding the Use of Security Assessment Tools and Services
I agreeにチェック
申請後は最長で2営業日以内にAWSより返信が来ます。申請の承認がされるとAWSより、 承認番号が送信されます。承認されるまでは侵入テストは実施しないようにしましょう。
まとめ
許可されているリソースがアップデートされてからしばらく経ち、FAQも増えましたのでブログをアップデートしました。 脆弱性テスト、侵入テストを実施する際に参考になれば幸いです。
