こんにちはますのです。
ECSonFargateで構築しているWebサーバに対してペネトレーションテストを実施することになりました。
そこでAWSへの侵入テスト申請が必須になるのか?と思い調べてみました。(2021年11月現在)
侵入テスト申請不要サービス
2021年11月現在で事前申請が不要となるサービスは以下と記載されています。
ECSの記載が無い…。
- Amazon EC2 インスタンス、NAT ゲートウェイ、Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS Lambda 関数および Lambda Edge 関数
- Amazon Lightsail リソース
- Amazon Elastic Beanstalk 環境
問い合わせ結果:ECSは申請不要と回答有り
以下の問い合わせ用URLより申請をしてみました。
問い合わせ用URL:Simulated Event Submissions Form
Hello,
Thank you for contacting Amazon Web Services. AWS no longer requires prior approval for penetration testing. Here is the list of AWS resources that qualify for this testing:
• Amazon EC2 instances, NAT Gateways, and Elastic Load Balancers
• Amazon RDS databases
• Amazon CloudFront distributions and/or Lambda@Edge functions
• Amazon Aurora database clusters
• Amazon API Gateway APIs
• AWS Lambda functions
• All Amazon Lightsail resources
• Amazon Elastic Beanstalk environments
• Amazon Elastic Container Service
• Amazon Fargate
• Amazon Elasticsearch
• S3 hosted applications (targeting S3 buckets is strictly prohibited)
AWS does not permit all forms of security testing. Some prohibited activities are provided below:
• DNS zone walking via Amazon Route 53 Hosted Zones
• DNS hijacking via Route 53
• DNS Pharming via Route 53
• Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
• Port flooding
• Protocol flooding
• Request flooding (login request flooding, API request flooding)
Our policy is outlined on our website: https://aws.amazon.com/security/penetration-testing/.
Please know that this policy applies to both ingress and egress testing.
If you desire to test services that are not listed above, please contact your AWS Account Manager/Representative for assistance. They can reach out to those service teams on your behalf to see if an exception can be made.
Please let us know if you have additional questions.
Regards,
AWS Trust & Safety
Amazon Web Services, LLC
Thank you for contacting Amazon Web Services. AWS no longer requires prior approval for penetration testing. Here is the list of AWS resources that qualify for this testing:
• Amazon EC2 instances, NAT Gateways, and Elastic Load Balancers
• Amazon RDS databases
• Amazon CloudFront distributions and/or Lambda@Edge functions
• Amazon Aurora database clusters
• Amazon API Gateway APIs
• AWS Lambda functions
• All Amazon Lightsail resources
• Amazon Elastic Beanstalk environments
• Amazon Elastic Container Service
• Amazon Fargate
• Amazon Elasticsearch
• S3 hosted applications (targeting S3 buckets is strictly prohibited)
AWS does not permit all forms of security testing. Some prohibited activities are provided below:
• DNS zone walking via Amazon Route 53 Hosted Zones
• DNS hijacking via Route 53
• DNS Pharming via Route 53
• Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
• Port flooding
• Protocol flooding
• Request flooding (login request flooding, API request flooding)
Our policy is outlined on our website: https://aws.amazon.com/security/penetration-testing/.
Please know that this policy applies to both ingress and egress testing.
If you desire to test services that are not listed above, please contact your AWS Account Manager/Representative for assistance. They can reach out to those service teams on your behalf to see if an exception can be made.
Please let us know if you have additional questions.
Regards,
AWS Trust & Safety
Amazon Web Services, LLC
回答内容にFargateの記載有
先ほどの回答内容の一覧にしっかり記載されていますね。
AWSでペネトレーションテストする際に事前申請不要になりました。のリストの中にFargateの文字が。
AWS no longer requires prior approval for penetration testing.
• Amazon Elastic Container Service
• Amazon Fargate
日本語サイトも英語サイトもAWS公式では記載されていない様子。
Twitterとかで不要だよ!って言われた。という情報も見ていましたが、念のため問い合わせてみたところ本当でした。
Twitterとかで不要だよ!って言われた。という情報も見ていましたが、念のため問い合わせてみたところ本当でした。
公式サイト更新してくれると嬉しいでありますな。
ということで安心してペネトレーションテストを実施に励みたい所存です。