AWSでの侵入テスト(Penetration Test)について

はじめに

こんにちは。cloudpack のインフラエンジニアレベル１の @f_prg (古渡晋也) です。

業務で初めて、AWS での侵入テスト(Penetration Test)の申請を行うことになりました。
会社のドキュメントや他のブログも見ましたが、私なりに整理をしましたので紹介したいと思います。

侵入テストとは

ユーザーが自身で構築したAmazon EC2インスタンスに実施できます。
しかし、AWSからの事前許可が必要となります。
AWSのリソースに対して、攻撃と勘違いされないように事前に連絡し許可が必要ということになります。

侵入テストするための準備

AWS 脆弱性/侵入テストリクエストフォームより申請します。
https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest

下記の画像のようなフォームに記入していきます。
次項より説明して参ります。

侵入テストを申請（リクエスト）する際の項目

Contact Information

連絡先情報を入力します。

フォーム項目	説明
Your Name*	氏名を入力してください、ここは自動で入力されます(必須)
Your Company Name	会社名を入力してください
Your Email Address*	Eメールアドレスを入力してください(必須)
AWS Account Number*	AWSアカウント番号を入力してください(必須)
Additional email addresses to CC on correspondence	メール送信の際のCCに入れるメールアドレスを入力してください
Third Party Contact Information	第３者の会社の連絡情報を入力してください

Scan Information

脆弱性スキャンに関する情報を入力します。

フォーム項目	説明
IP Addresses to be scanned (Destination)*	診断先のIPアドレスを入力してください、EC2のプライベートIPになります(必須)
Are the instances the source of the scan or the target of the scan?*	下記で入力するEC2インスタンスが診断元か診断先かどうか入力してください(必須)
Instances IDs*	上記の項目のEC2インスタンスIDを入力してください(必須)
Scanning IP addresses (Source)*	脆弱性スキャンを行う、接続元のIPアドレスを入力してください(必須)
What region are these instances in?*	EC2インスタンスがあるリージョンを入力してください(必須)
Timezone*	時刻のタイムゾーンを入力してください、GMTになっております(必須)
Start Date and Time (YYYY-MM-DD HH:MM)*	開始時刻を入力してください(必須)
End Date and Time (YYYY-MM-DD HH:MM)*	終了時刻を入力してください(必須)
Additional Comments	追加するコメントがありましたら入力してください

Terms and Conditions

十分読んで、同意を選択しましょう。

AWS’s Policy Regarding the Use of Security Assessment Tools and Services

十分読んで、同意を選択しましょう。

Submit

問題がなければ送信をしましょう。

侵入テストの注意点

送信元と送信先で違いが生じます。

Source指定

① スキャン対象のEC2のプライベートIPアドレスを指定します。（複数可能）
② Source（接続元）を選択する。
③ Source（接続元）のEC2インスタンスIDを入れます。（複数可能）
④ Source（接続元）のEC2のプライベートIPアドレスを入力します。（複数可能）

③と④は同じSource（接続元）の情報になります。
EC2（③、④）からEC2（①）に対してスキャンの指定になります。

Target指定

① スキャン対象のEC2のプライベートIPアドレスを指定します。（複数可能）
② Target（接続先）を選択する。
③ Target（接続先）のEC2インスタンスIDを入れます。（複数可能）
④ Source（接続元）のEC2のプライベートIPアドレスを入力します。（複数可能）

①と③は同じTarget（接続先）の情報になります。
④の接続元からEC2（①、③）に対してスキャンをします。
④にAWS以外のIPアドレスが指定可能となります。オフィスや外部のサービスなどが例になります。

対象インスタンス

m1.small または t1.micro は対象にできません。

時間の制約

終了日は開始日から3か月以内となります。
24～48 営業時間以内に、申請受理が届きます。
手続きには数営業日かかる可能性があります。

まとめ

AWSでの侵入テスト(Penetration Test)の申請を行う方のお役にたてれば幸いです。

補足、おまけ

今回はありません。

参考資料・リンク

AWSの侵入テストについて

侵入テスト – AWS セキュリティセンター (AWS Security Center) | アマゾンウェブサービス（AWS 日本語）

AWS 脆弱性/侵入テスト申請フォーム

※AWSへのログインが必要です。
https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest

元記事はこちらです。
「AWSでの侵入テスト(Penetration Test)について」

AWSでの侵入テスト(Penetration Test)について

はじめに

侵入テストとは

侵入テストするための準備

侵入テストを申請（リクエスト）する際の項目

Contact Information

Scan Information

Terms and Conditions

AWS’s Policy Regarding the Use of Security Assessment Tools and Services

Submit

侵入テストの注意点

Source指定

Target指定

対象インスタンス

時間の制約

まとめ

補足、おまけ

参考資料・リンク

AWSの侵入テストについて

AWS 脆弱性/侵入テスト申請フォーム

IT健保「鮨一新」食レポ

【次世代MSP】SLI / SLO を定義してみた～ New Relic でサービスの見える化に挑戦！

AWSの生成AI活用事例集GenUを使い倒す

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

Amazon Managed Grafanaへのログイン手段を考える〜IAM Identity Center以外のSAML認証の選択肢〜

AWSでの侵入テスト(Penetration Test)について

はじめに

侵入テストとは

侵入テストするための準備

侵入テストを申請（リクエスト）する際の項目

Contact Information

Scan Information

Terms and Conditions

AWS’s Policy Regarding the Use of Security Assessment Tools and Services

Submit

侵入テストの注意点

Source指定

Target指定

対象インスタンス

時間の制約

まとめ

補足、おまけ

参考資料・リンク

AWSの侵入テストについて

AWS 脆弱性/侵入テスト申請フォーム

関連記事Related Articles

AWSの侵入テストを同一VPCで完結したい場合の申請方法

AWS Lambda で Node.js v4.3 がサポート終了になるので, v8.10 にアップグレードする為にテストを書いて検証してみた

【Terraform】v1.6以降で追加されたテスト機能とv1.7で追加されたモックテスト機能を試してみる

AWS CDKのテスト機能を試してみた

AWS、Azureなどで利用できるフロントエンド、SpaceBlockの設定方法