In unserer Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) werden zulässige und nicht zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da Penetrationstests häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir eine Richtlinie eingeführt, damit unsere Kunden die Genehmigung zur Durchführung von Penetrationstests und Prüfungen auf Schwachstellen anfordern können.

Füllen Sie bitte das Antragsformular für AWS Schwachstellen-/Penetrationstests aus, um eine Genehmigung zur Durchführung von Penetrationstests oder Überprüfungen für Ihre Ressourcen anzufordern. Bei der Beantragung von Penetrationstests sind mehrere wichtige Aspekte zu beachten:

  • Die Berechtigung ist für alle Penetrationstests erforderlich.
  • Zum Beantragen der Berechtigung müssen Sie mit den Anmeldeinformationen am Portal angemeldet sein, die mit den Instances verknüpft sind, die Sie testen möchten. Andernfalls wird das Formular nicht ordnungsgemäß vorausgefüllt. Wenn Sie die Tests von einem Drittanbieter durchführen lassen, sollten Sie das Formular ausfüllen und dann dem Drittanbieter Bescheid geben, sobald wir die Genehmigung erteilt haben.
  • Bitte beachten Sie: Derzeit ist das Testen der Instance-Typen "m1.small" und "t1.micro" im Rahmen unserer Richtlinie nicht gestattet. Nur so können mögliche ungünstige Leistungsbeeinträchtigungen der Ressourcen verhindert werden, die Sie in einer Mehrmandantenumgebung ggf. mit anderen Kunden gemeinsam nutzen.

Das Formular, das Sie einsenden, fragt verschiedene Informationen zu den Instances, die Sie testen möchten, sowie die voraussichtlichen Start- und Endtermine und Zeiten von Tests ab. Außerdem müssen Sie Geschäftsbedingungen lesen und akzeptieren, die speziell für Penetrationstests und die Verwendung geeigneter Tools zum Testen gelten. Beachten Sie, dass das Enddatum nur maximal 3 Monate hinter dem Startdatum liegen darf.

Informationen, die Sie im Rahmen dieses Prozesses an AWS weitergeben, werden innerhalb von AWS vertraulich behandelt. Die Informationen werden nicht ohne Ihre Zustimmung an andere weitergegeben.

AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Innerhalb von 24-48 Stunden erhalten Sie eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Nachdem wir die vorgelegten Informationen geprüft haben, wird Ihnen eine Autorisierungsnummer zugewiesen. Falls wir Fragen haben, bitten wir um Klärung. Dieser Vorgang kann mehrere Geschäftstage in Anspruch nehmen. Bitte berücksichtigen Sie dies bei Ihrer Planung.

Wenn Sie die abschließende Genehmigung erhalten haben, sind von Ihrer Seite keine weiteren Aktionen erforderlich. Sie können den Test bis zum Abschluss des von Ihnen angegebenen Zeitraums durchführen. Wenn Sie mehr Zeit für weitere Tests benötigen, antworten Sie auf die Genehmigung-E-Mail mit der Bitte, den Testzeitraum bis zum neuen Termin zu verlängern. Sie dürfen den Testzeitraum nur verlängern, wenn Sie von uns eine neue Genehmigung erhalten.

Wenn Fragen zu Aspekten von Penetrationstests und Prüfungen auf Schwachstellen haben, die auf dieser Webseite nicht behandelt werden, kontaktieren Sie uns unter aws-sec-cust-pen-test@amazon.com.