web-dev-qa-db-ja.com

サードパーティのプラットフォームでホストされている独自のWebサービスに対する侵入テスト

私たちの会社がプログラムしたウェブサイトやサービスにペンテストをしたいのですが、自社のインフラストラクチャでテストすれば問題ありません。 AWS、Azureなどの他のプラットフォームにデプロイされたサービスをテストするときの(法的)影響は何ですか?私たちは技術的にはターゲットシステムを所有していないため(そのシステムの一部をレンタルしただけです)、ホスティング事業者から許可を得る必要がありますか?明らかに、ホストされたサービスの実装はセキュリティに大きな影響を与えるので、違いを独自のイントラネットホスティングと比較したいと思います。

28
knipp

一般に、インフラストラクチャに展開されたサービスをスキャンするホスティング会社の許可が必要です。これは、侵入検知システムが許可されたスキャンであることを認識できるようにするためです。

AWSとAzureの両方に、プロセスとテストの許容範囲を詳述したポリシーがあります。 AWSは here で、Azureは here です。ホスティング会社が公開されたポリシーを持っていない場合、確認するためにそれらに連絡する価値があります。

また、クラウドホスティングプロバイダーから使用しているサービスによって異なります。したがって、たとえばAWSの場合、顧客がオペレーティングシステムを担当するAWS EC2などのIAASスタイルの製品をテストでき、Amazonがオペレーティングシステムと関連ソフトウェアを担当するAWS S3などのSAAS製品をテストできません。ただし、Azureには、所有する任意のサービスをテストできる、より広範なポリシーがあるようです。

また、テストの種類を制限することもできます。たとえば、DoSテストはクラウドプロバイダーに影響を与える可能性があるため、許可されない場合があります。

「従来の」ホスティングの場合、それは一般的にあなたが持っているサービスのタイプに依存します。共有ホスティングを使用していて、ウェブルートにアクセスできるだけの場合は、同じサーバー上の他のユーザーに影響を与えるリスクがありますが、完全なOSイメージ(Digital Ocean Dropletsなど)がある場合は、テストから制限される可能性があります。 )(Digital Oceanの場合は、サポートチケット経由で)それらに通知している限り、大丈夫です。

さまざまな企業がどこに行くかについてのより長いリストもあります ここ

43
Rory McCune

ISPにも確認する必要があります。政府の規制と独自の運用ポリシーによっては、ペンテストアクションが検出された場合にブロックするか、サービスを完全にキャンセルする必要があります。彼らはあなたを法執行機関に報告することさえ要求されるかもしれません。

7
Mike Lane

「マイクレーン」の回答によるISPの考慮事項に加えて、一般的に州に属しているさまざまなエンティティのプロパティであるネットワークを介してペンテストすることにも注意してください。そのため、この種の活動に対する許可は自動的には付与されません。

サービスと同じインフラストラクチャ内で別の共有またはVPSを借りることができれば、そこから単一のエンティティのポリシーの下で安全にペンテストできます。

2
elsadek