この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
AWSの侵入テストについてのアップデート記事です。 今回は、大きな変更がありましたのでご紹介します。
8つのサービスで事前承認が不要になりました
PAWS Customer Support Policy for Penetration Testing
Effective immediately, AWS customers are welcome to carry out security assessments or penetration tests against their AWS infrastructure without prior approval for 8 services.
AWSは以下の8つのサービスについて侵入テストまたは脆弱性テストの事前承認の必要がなくなりました。
- Amazon EC2 instances, NAT Gateways, and Elastic Load Balancers
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateways
- AWS Lambda and Lambda Edge functions
- Amazon Lightsail resources
- Amazon Elastic Beanstalk environments
ただし、CloudFrontについては前提としてAWSとNDAの締結が必要なので注意してください。
Private Preview and NDA – We're currently operating a preview program for security assessments of the services below. Before conducting such assessments, please contact AWS Compliance to complete an NDA:
禁止されているアクティビティ
AWSでは以下の活動は禁止されています。
- DNS zone walking via Amazon Route 53 Hosted Zones
- Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
- Port flooding
- Protocol flooding
- Request flooding (login request flooding, API request flooding)
侵入テストを成功させるために
Rate limits : 1Gbps or 10,000 RPS
テストを確実に成功させるために、 Rate limits を守りましょう。
Instance Types :
以下、EC2インスタンスタイプはテストから除外することが推奨されています。
- T3.nano
- T2.nano
- T1.micro
- M1.small
Testing IP Addresses :
侵入テストを実施する前に、IPアドレスの所有者を確認しておきましょう。
事前承認済みリストにないサービスへ侵入テストについて
その他のサービスについて侵入テストしたい場合は
aws-security-simulated-event@amazon.com
へ申請する必要があります。
まとめ
今までは侵入テストを実施するためには事前承認が必要で、 承認されるまで侵入テストを実施することができませんでした。 多くのサービスに対して事前承認が不要になり、嬉しいアップデートでしたね。 今後対応していく中で注意点やナレッジについてはまたアップデートしたいと思います。