2017年版 AWSの侵入テストについて

アイキャッチ AWS EC2
128件のシェア(ちょっぴり話題の記事)

2017年9月23日更新
許可されているリソースについてアップデートがあることを確認したので「対象リソースについて」を更新しました

はじめに

オペレーションチームの高橋です。

以前AWSの侵入テストについて(Amazon EC2への侵入テスト申請について)を投稿しましたが、
新たに「Total Bandwidth (Please provide expected Gbps)*」の項目が追加されたので、
侵入テストに関する確認事項や内容についてアップデートしました。

侵入テスト

AWSではAWS環境への、またはAWS環境からの侵入テストと脆弱性スキャンを実施する場合、
AWSで禁止されている行為と区別するために事前に侵入テストの承認を得る必要があります。

侵入テスト

私たちの適正利用規約では、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為について説明しています。ただし、侵入テストと他のシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、AWS では AWS 環境への、または AWS 環境からの侵入テストと脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。

そのためすべての侵入テストに許可が必要です。
申請するにはルートアカウントで申請をする必要があり、入力内容は英語で記載します。

申請の前の注意点を以下にまとめました。

侵入テスト申請のよくある質問

侵入テスト申請をスムーズに行うため以下の内容を確認し申請します。

対象リソースについて

現在、EC2(ELB経由も可) と RDSのインスタンスのテストのみ許可されています。
CloudFront経由などは許可されていません。

以下リソースに対してテストが許可されています。

  • EC2
  • RDS
  • Aurora
  • CloudFront
  • API ゲートウェイ
  • Lambda
  • Lightsail
  • DNS Zone Walking

侵入テスト対象のインスタンスタイプについて

m1.small、t1.micro、または t2.nano の EC2 インスタンス、
スモール RDS インスタンスまたはマイクロ RDS インスタンスのテストは許可されていません。

侵入テストテスト実施期間について

申請の際、終了期間は開始日時より90日以内で申請する必要があります。

EC2インスタンスの状態について

EC2インスタンスは申請時にELB経由での申請の場合は「InService」になっていること。
EC2インスタンスは「running」のステータスになっていること。

侵入テスト実施期間中にEC2インスタンスをstop / startする場合

申請したIPアドレスの変更を防ぐため EC2インスタンスで期間中にstop/startが予定されている場合はEIPを推奨しています。

AWSアカウント間での侵入テストを実施する場合、申請するアカウントについて

AWSアカウント間で侵入テストを実施する場合は
申請するアカウントはターゲットとなるEC2、RDSインスタンスを保有しているアカウントから申請します。

AWSアカウント間での侵入テストを実施する場合、どのようにフォームに記載するか

AWSアカウント間での侵入テストを実施する場合「Instance IDs」のフォーム内で
以下のようにAWSアカウントやインスタンスIDを明記します。

  • (Target)AWSアカウントID:インスタンスID:IPアドレス
  • (Source)AWSアカウントID:インスタンスID:IPアドレス

直接アクセスされないEC2インスタンスに対しても申請が必要か

直接アクセスされないEC2インスタンスに対しても、侵入テストの結果なにかしらのトラフィックが発生する場合は
直接アクセスがあるEC2インスタンスID及び直接アクセスはされないEC2インスタンスIDを「Instance IDs」に記載し、コメントに内容を補足しておきます。

申請から承認までどのくらいの期間が必要か

AWSからの返信は最長で2営業日かかります。
上記確認事項をチェックして申請しているとAWSとのやりとりが少なくて済みます。

申請内容について

侵入テストのリクエストフォームから申請をします。
※rootアカウントで実施

Contact Information

項目 内容
Your Name:* アカウント名
Company Name* 会社名
Email Address AWSアカウントのメールアドレス
Additional Email Address CC:メールアドレス
Third Party Contact Information 侵入テストを第3者に委託する場合、第3者の連絡先(会社名・TEL番号・メールアドレス)

Scan Information

  • Total Bandwidth (Please provide expected Gbps)*が新たに追加されました。

項目 内容
IP Addresses to be scanned (Destination)* スキャン対象のIPアドレス
ELBがTargetの場合は、Load Balancer Name
Are the instances the source of the scan or the target of the scan?* スキャン元なのかスキャンされる側なのかの指定
Instance IDs* インスタンスIDを記載
「IP Addresses to be scanned (Destination)」や
「Scanning IP addresses (Source)」のインスタンスID
ELBがTargetの場合は、Load Balancer Name
Scanning IP addresses (Source)* スキャン元のIPアドレス
Total Bandwidth (Please provide expected Gbps)* テストで使用する帯域幅
What region are these instances in?* リージョン名を選択
Time Zone タイムゾーンを選択(例:JSTの場合はGMT+9)
Start Date and Time (YYYY-MM-DD HH:MM)* 侵入テスト・脆弱性スキャンを実施する開始時刻
End Date and Time (YYYY-MM-DD HH:MM)* 侵入テスト・脆弱性スキャンを終了する時刻
Additional Comments 侵入テスト申請の目的や理由を記載

Terms and Conditions

I agreeにチェック

AWS’s Policy Regarding the Use of Security Assessment Tools and Services

I agreeにチェック

最後にSubmitをクリックして申請完了となります。

申請後、最長で2営業日以内にAWSより返信が来ます。
申請の承認がされるとAWSより、承認番号が送信されますが
承認されるまでは侵入テストは実施しないようにしましょう。

まとめ

今回は追加項目もありブログをアップデートしました。
お客様からの質問があった内容や、申請の際に確認が必要だった内容もまとめましたので、
こちらのブログをご参照いただきスムーズに侵入テストの申請が行えたら幸いです。

参考URL

侵入テスト