web-dev-qa-db-ja.com

AWSからの侵入テストの承認

AWSで新たにホストされているウェブアプリケーションがいくつかあります。 Netsparkerを使用してアプリケーションURLで自動ペンテストを実行する前は、Amazonにメールを送信し、侵入テストの承認を要求していました。しかし、AWSでホストされているアプリケーションに対して侵入テストを実行するときに、ペンテスト認証リクエストが実際に必要かどうかという質問がチーム内に出てきました。それらの一部は、AWSサービス(EC2、RDS、Aurora..etcなど)をテストする場合にのみ承認が必要であり、AWSでホストされているアプリケーションをテストする場合ではないという意見を持っています。 このページ 「AWSリソースへの侵入テストまたはAWSリソースからの侵入テストのために」認証が必要であると言うことは、この区別についてあまり明確ではありません。

AWSでホストされているウェブアプリケーションに対して自動ペンテストスキャンを実行した経験-許可なしにスキャンを実行したとき、スキャンの10〜15分後にNetsparkerがスキャンを停止しました(接続が終了したというメッセージが表示されます)。数時間のスキャンの後にスキャンが完了した回数もありました。

だから問題は:

  • EC2インスタンスでホストされているWebアプリケーションをスキャンするためにAmazonから承認を取得する必要がありますか?またはインフラストラクチャレベルでEC2インスタンス自体をスキャンするときにのみAmazonから承認を取得する必要がありますか?

回答を求めてAmazonにメールを送信しましたが、返信に時間がかかっているようです。 Amazonが戻ってくる前に、誰かが答えてくれることを期待しています。

1
Sree

はい。Amazonが直接管理するサービスであるかどうかにかかわらず、AWSインフラストラクチャで実行されているサービスの侵入テストには承認が必要です。出典:個人的な経験と、AWSアカウントマネージャーとの話し合い。ペンテストでは、AWSセキュリティグループやネットワークACL、独自のサービスなどをテストします。

4
Mike Scott

AWSがポリシーを変更し、より柔軟になったようです。 AWSカスタマーサービスからのフォームの送信/承認は必要ありません。ただし、AWSセキュリティが遵守する必要のある、またはAWSセキュリティから連絡を受けるリスクがあるいくつかのルールがあります。

https://aws.Amazon.com/security/penetration-testing/

3
sam