AWS的渗透测试授权

Question

我们有一些新托管在AWS上的web应用程序。在我们使用Netsparker在应用程序URL上运行自动戊e之前，我们一直通过电子邮件发送Amazon并请求授权进行渗透测试。但是，在我们的团队中出现了一个问题，即在针对AWS中托管的应用程序运行渗透测试时，是否确实需要请求戊ST授权请求？他们中的一些人认为，我们只需要在接受AWS服务(如EC2、RDS、Aurora..etc)时才需要授权，而不是在接受托管在AWS中的应用程序时才需要授权。此页说，需要授权才能“对任何AWS资源进行渗透测试或起源于AWS资源”，但对于这种区别并不十分清楚。

根据我在AWS中对托管在AWS中的web应用程序进行自动五次扫描的经验--我在未经授权的情况下运行了几次扫描，在10到15分钟的扫描后，Netsparker停止了扫描(带有连接终止消息)，但扫描几个小时后，扫描完成了几次。

所以问题是：

• 我们是否必须获得亚马逊的授权才能扫描托管在EC2实例上的web应用程序，还是只有在基础设施级别上扫描EC2实例本身时才能从亚马逊获得授权？

我们已经给亚马逊发了电子邮件，要求回复，但他们似乎需要很长时间才能回复。只是希望这里的人能在亚马逊回来之前找到答案。

Answer 1

是的，您需要授权才能对运行在AWS基础设施上的任何服务进行渗透测试，无论它是否是由Amazon自己直接管理的服务。资料来源:个人经验，并与我的AWS帐户经理讨论。记住，您的笔试将测试诸如AWS安全组和网络ACL以及您自己的服务。

Answer 2

看来AWS正在改变政策，变得更加灵活。AWS客户服务不再需要表单提交/授权。但是，您需要遵守一些规则，否则AWS安全性就有可能与您联系。

https://aws.amazon.com/security/penetration-testing/