share facebook facebook2 twitter menu hatena pocket slack

2015.01.22 THU

AWSでの侵入テスト(Penetration Test)について

古渡 晋也

WRITTEN BY古渡 晋也

はじめに

こんにちは。cloudpack の インフラエンジニアレベル1の @f_prg (古渡晋也) です。

業務で初めて、AWS での侵入テスト(Penetration Test)の申請を行うことになりました。
会社のドキュメントや他のブログも見ましたが、私なりに整理をしましたので紹介したいと思います。

侵入テストとは

ユーザーが自身で構築したAmazon EC2インスタンスに実施できます。
しかし、AWSからの事前許可が必要となります。
AWSのリソースに対して、攻撃と勘違いされないように事前に連絡し許可が必要ということになります。

侵入テストするための準備

AWS 脆弱性/侵入テストリクエストフォームより申請します。
https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest

下記の画像のようなフォームに記入していきます。
次項より説明して参ります。
AWSでの侵入テスト(Penetration Test)について: AWS 脆弱性/侵入テストリクエストフォーム

侵入テストを申請(リクエスト)する際の項目

Contact Information

連絡先情報を入力します。

フォーム項目 説明
Your Name* 氏名を入力してください、ここは自動で入力されます(必須)
Your Company Name 会社名を入力してください
Your Email Address* Eメールアドレスを入力してください(必須)
AWS Account Number* AWSアカウント番号を入力してください(必須)
Additional email addresses to CC on correspondence メール送信の際のCCに入れるメールアドレスを入力してください
Third Party Contact Information 第3者の会社の連絡情報を入力してください

Scan Information

脆弱性スキャンに関する情報を入力します。

フォーム項目 説明
IP Addresses to be scanned (Destination)* 診断先のIPアドレスを入力してください、EC2のプライベートIPになります(必須)
Are the instances the source of the scan or the target of the scan?* 下記で入力するEC2インスタンスが診断元か診断先かどうか入力してください(必須)
Instances IDs* 上記の項目のEC2インスタンスIDを入力してください(必須)
Scanning IP addresses (Source)* 脆弱性スキャンを行う、接続元のIPアドレスを入力してください(必須)
What region are these instances in?* EC2インスタンスがあるリージョンを入力してください(必須)
Timezone* 時刻のタイムゾーンを入力してください、GMTになっております(必須)
Start Date and Time (YYYY-MM-DD HH:MM)* 開始時刻を入力してください(必須)
End Date and Time (YYYY-MM-DD HH:MM)* 終了時刻を入力してください(必須)
Additional Comments 追加するコメントがありましたら入力してください

Terms and Conditions

十分読んで、同意を選択しましょう。

AWS’s Policy Regarding the Use of Security Assessment Tools and Services

十分読んで、同意を選択しましょう。

Submit

問題がなければ送信をしましょう。

侵入テストの注意点

送信元と送信先で違いが生じます。

Source指定

AWSでの侵入テスト(Penetration Test)について: 申請フォーム - Source指定

  1. ① スキャン対象のEC2のプライベートIPアドレスを指定します。(複数可能)
  2. ② Source(接続元)を選択する。
  3. ③ Source(接続元)のEC2インスタンスIDを入れます。(複数可能)
  4. ④ Source(接続元)のEC2のプライベートIPアドレスを入力します。(複数可能)

③と④は同じSource(接続元)の情報になります。
EC2(③、④)からEC2(①)に対してスキャンの指定になります。

Target指定

AWSでの侵入テスト(Penetration Test)について: 申請フォーム - Target指定

  1. ① スキャン対象のEC2のプライベートIPアドレスを指定します。(複数可能)
  2. ② Target(接続先)を選択する。
  3. ③ Target(接続先)のEC2インスタンスIDを入れます。(複数可能)
  4. ④ Source(接続元)のEC2のプライベートIPアドレスを入力します。(複数可能)

①と③は同じTarget(接続先)の情報になります。
④の接続元からEC2(①、③)に対してスキャンをします。
④にAWS以外のIPアドレスが指定可能となります。オフィスや外部のサービスなどが例になります。

対象インスタンス

m1.small または t1.micro は対象にできません。

時間の制約

  • 終了日は開始日から3か月以内となります。
  • 24~48 営業時間以内に、申請受理が届きます。
  • 手続きには数営業日かかる可能性があります。

まとめ

AWSでの侵入テスト(Penetration Test)の申請を行う方のお役にたてれば幸いです。

補足、おまけ

今回はありません。

参考資料・リンク

AWSの侵入テストについて

侵入テスト – AWS セキュリティセンター (AWS Security Center) | アマゾン ウェブ サービス(AWS 日本語)

AWS 脆弱性/侵入テスト申請フォーム

※AWSへのログインが必要です。
https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest

元記事はこちらです。
AWSでの侵入テスト(Penetration Test)について

古渡 晋也

古渡 晋也

縁があって、cloudpackにジョインしました。 JAWS-UG さいたま支部コアメンバーとしても活動しております。 cloudpackにてインフラ設計・構築・運用をしております。 HadoopやMongoDBなどいろいろ経験しております。 あと、開発もできるエンジニアです。 開発可能な言語はC, C++, C#, アセンブラ, PHP, Ruby, JavaScript, Java, Objective-Cです。