AWSで新たにホストされているウェブアプリケーションがいくつかあります。 Netsparkerを使用してアプリケーションURLで自動ペンテストを実行する前は、Amazonにメールを送信し、侵入テストの承認を要求していました。しかし、AWSでホストされているアプリケーションに対して侵入テストを実行するときに、ペンテスト認証リクエストが実際に必要かどうかという質問がチーム内に出てきました。それらの一部は、AWSサービス(EC2、RDS、Aurora..etcなど)をテストする場合にのみ承認が必要であり、AWSでホストされているアプリケーションをテストする場合ではないという意見を持っています。 このページ 「AWSリソースへの侵入テストまたはAWSリソースからの侵入テストのために」認証が必要であると言うことは、この区別についてあまり明確ではありません。
AWSでホストされているウェブアプリケーションに対して自動ペンテストスキャンを実行した経験-許可なしにスキャンを実行したとき、スキャンの10〜15分後にNetsparkerがスキャンを停止しました(接続が終了したというメッセージが表示されます)。数時間のスキャンの後にスキャンが完了した回数もありました。
だから問題は:
回答を求めてAmazonにメールを送信しましたが、返信に時間がかかっているようです。 Amazonが戻ってくる前に、誰かが答えてくれることを期待しています。
はい。Amazonが直接管理するサービスであるかどうかにかかわらず、AWSインフラストラクチャで実行されているサービスの侵入テストには承認が必要です。出典:個人的な経験と、AWSアカウントマネージャーとの話し合い。ペンテストでは、AWSセキュリティグループやネットワークACL、独自のサービスなどをテストします。
AWSがポリシーを変更し、より柔軟になったようです。 AWSカスタマーサービスからのフォームの送信/承認は必要ありません。ただし、AWSセキュリティが遵守する必要のある、またはAWSセキュリティから連絡を受けるリスクがあるいくつかのルールがあります。