Penetrationstests

AWS-Kundensupportrichtlinie für Penetrationstests

AWS-Kunden können ohne vorherige Genehmigung Sicherheitsbewertungen oder Penetrationstests ihrer AWS-Infrastruktur für die im nächsten Abschnitt unter „Erlaubte Services“ aufgeführten Services durchführen. Außerdem erlaubt AWS seinen Kunden, ihre Sicherheitsbewertungs-Tools innerhalb des AWS-IP-Bereichs oder bei einem anderen Cloud-Anbieter zu hosten, um sie vor Ort, in AWS oder bei einem Drittanbieter zu testen. Alle Sicherheitstests, die die Befehls- und Kontrollfunktionen (Command and Control – C2) einschließen, bedürfen der vorherigen Genehmigung.

Stellen Sie sicher, dass diese Aktivitäten den Bestimmungen in der unten definierten Richtlinie entsprechen. Hinweis: Kunden sind nicht berechtigt, Sicherheitsbewertungen der AWS-Infrastruktur oder der AWS-Services selbst durchzuführen. Wenn Sie während Ihrer Sicherheitsbewertungen ein Sicherheitsproblem in einem beliebigen AWS-Service erkennen, nehmen Sie bitte sofort Kontakt mit AWS Security auf.

Wenn AWS einen Missbrauchsbericht für Aktivitäten in Bezug auf Ihre Sicherheitstests erhält, werden wir diesen Bericht an Sie weiterleiten. Wenn Sie uns antworten, geben Sie uns bitte eine detaillierte Beschreibung Ihres Verwendungszwecks sowie eine Kontaktperson an, die wir an die Berichterstatter weitergeben können. Weitere Informationen finden Sie hier.

Wiederverkäufer von AWS-Services sind für die Sicherheitstestaktivitäten ihrer Kunden verantwortlich.

Kundendienstrichtlinie für Penetrationstests

Erlaubte Services

  • Amazon-EC2-Instances, WAF, NAT Gateways, und Elastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • AWS AppSync
  • AWS-Lambda- und Lambda-Edge-Funktionen
  • Amazon Lightsail-Ressourcen
  • Amazon-Elastic-Beanstalk-Umgebungen
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • AWS Transit Gateway
  • S3-gehostete Anwendungen (der Zugriff auf S3-Buckets ist strengstens untersagt) 
Kunden, die nicht genehmigte Services testen möchten, müssen direkt mit dem AWS Support oder ihrem Kundenbetreuer zusammenarbeiten. 

Verbotene Aktivitäten

  • DNS Zone Walking über gehostete Amazon-Route-53-Zonen
  • DNS-Hijacking über Route 53
  • DNS-Pharming über Route 53
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS (Diese unterliegen der Richtlinie für DDoS-Simulationstests Port-Flooding)
  • Protokoll-Flooding
  • Anforderungs-Flooding (Anmeldeanforderungs-Flooding, API-Anforderungs-Flooding)

Andere simulierte Ereignisse

Rot/Blau/Violett-Team-Tests


Rot/Blau/Violett-Team-Tests sind gegnerische Sicherheitssimulationen, mit denen das Sicherheitsbewusstsein und die Reaktionszeiten eines Unternehmens getestet werden sollen

Kunden, die verdeckte gegnerische Sicherheitssimulationen durchführen möchten und/oder Command and Control (C2) hosten, müssen ein Formular für simulierte Ereignisse zur Prüfung einreichen. 

Netzwerk-Stresstest


Stresstests sind Leistungstests, bei denen ein großes Volumen an legitimem oder Testverkehr an eine bestimmte Zielanwendung gesendet wird, um eine effiziente operative Kapazität sicherzustellen. Von der Endpunktanwendung wird erwartet, dass sie die ihr zugedachte Funktion als Teil des Tests erfüllt. Jeder Versuch, das Ziel zu überwältigen, gilt als Denial-of-Service (DoS).

Wenn Sie einen Netzwerk-Stresstest durchführen möchten, lesen Sie bitte unsere Richtlinie für Stresstests

iPerf-Tests


iPerf ist ein Tool zur Messung und Optimierung der Netzwerkleistung. Es handelt sich um ein plattformübergreifendes Tool, mit dem standardisierte Leistungsmessungen für jedes beliebige Netzwerk durchgeführt werden können.

Kunden, die iPerf-Tests durchführen möchten, müssen ein Formular für simulierte Ereignisse zur Überprüfung einreichen. 

DDoS-Simulationstest


Distributed Denial of Service-Angriffe (DDoS-Angriffe) entstehen, wenn Angreifer eine Zielanwendung mit einer Datenverkehrsflut aus diversen Quellen überschwemmen, um die Verfügbarkeit der Anwendung zu beeinträchtigen. DDoS-Simulationstests nutzen einen kontrollierten DDoS-Angriff, damit der Besitzer der Anwendung die Ausfallsicherheit seiner Anwendung testen und die Reaktion im Falle eines Vorfalls üben kann.

Wenn Sie einen DDoS-Simulationstest durchführen möchten, lesen Sie bitte unsere Richtlinie für DDoS-Simulationstest

Simuliertes Phishing


Simuliertes Phishing ist die Simulation eines versuchten Social-Engineering-Angriffs, mit dem angestrebt wird, sensible Informationen von Benutzern zu erhalten. Ziel ist es, Benutzer zu identifizieren und sie über den Unterschied zwischen echten E-Mails und Phishing-E-Mails aufzuklären, um die Sicherheit des Unternehmens zu erhöhen.

Kunden, die eine simulierte Phishing-Kampagne durchführen möchten, müssen ein Formular für simulierte Ereignisse zur Überprüfung einreichen. 

Malware-Tests


Bei Malware-Tests werden bösartige Dateien oder Programme mit Anwendungen oder Antivirenprogrammen getestet, um die Sicherheits-Features zu verbessern.

Kunden, die Malware-Tests durchführen möchten, müssen ein Formular für simulierte Ereignisse zur Überprüfung einreichen. 

Anforderung der Autorisierung für andere simulierte Ereignisse


AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Bitte senden Sie ein Formular für simulierte Ereignisse, um uns direkt zu kontaktieren. (Kunden, die in der Region AWS China (Ningxia und Peking) tätig sind verwenden bitte dieses Formular für simulierte Ereignisse.)

Geben Sie unbedingt die Daten, die betroffenen Konto-IDs, die betroffenen Komponenten und die Kontaktinformationen an, einschließlich Telefonnummer und ausführlicher Beschreibung der geplanten Ereignisse. Innerhalb von 2 Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Alle Anträge für simulierte Ereignisse müssen mindestens zwei (2) Wochen vor dem Starttermin bei AWS eingereicht werden.

Testabschluss


Wenn Sie die abschließende Berechtigung erhalten haben, sind von Ihrer Seite keine weiteren Maßnahmen erforderlich. Sie können den Test bis zum Ende des von Ihnen angegebenen Zeitraums durchführen.

Bedingungen

Alle Sicherheitstests müssen gemäß den AWS-Sicherheitstestbedingungen durchgeführt werden.

Sicherheitstests:

  • Werden auf die Services Netzwerkbandbreite, Anforderungen pro Minute und Instance-Typen beschränkt.
  • Unterliegen den Bedingungen des Amazon Web Services Customer Agreement zwischen Ihnen und AWS
  • Halten die Bestimmungen der AWS-Richtlinie zur Verwendung der im nächsten Abschnitt enthaltenen Sicherheitsbewertungstools und -Services ein

Alle ermittelten Schwachstellen oder andere Probleme ergeben sich direkt aus den AWS-Tools und -Services und müssen innerhalb von 24 Stunden nach Abschluss des Tests per E-Mail an AWS Security übermittelt werden.

AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -Services

Die AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -services bietet umfassende Flexibilität bei der Ausführung von Sicherheitsbewertungen für Ihre AWS-Assets und schützt dabei andere AWS-Kunden durch die Sicherstellung der Servicequalität in AWS.

AWS ist bekannt, dass eine große Auswahl öffentlicher, privater, kommerzieller und/oder Open-Source-Tools und -Services für Sicherheitsbewertungen Ihrer AWS-Assets verfügbar ist. Der Begriff "Sicherheitsbewertung" bezieht sich auf alle Aktivitäten, die den Zweck verfolgen, die Wirksamkeit oder Existenz von Sicherheitsprüfungen für Ihre AWS-Assets zu bestimmen, z. B. Port-Scans, Schwachstellen-Scans/-Prüfungen, Penetrationstests, Ausnutzung, Webanwendungs-Scans sowie sämtliche Injektions-, Fälschungs- oder Verzerrungsaktivitäten, die entweder remote in Bezug auf Ihre AWS-Assets, zwischen Ihren AWS-Assets oder lokal innerhalb der virtuellen Assets selbst durchgeführt werden.

Es gelten KEINE Beschränkungen in Bezug auf die Auswahl der Tools oder Services zur Durchführung von Sicherheitsbewertungen für Ihre AWS-Assets. Es ist jedoch UNZULÄSSIG, Tools oder Services auf eine Art und Weise zu verwenden, die zu Denial-of-Service (DoS)-Angriffen oder -Simulationen in Bezug auf BELIEBIGE eigene oder fremde AWS-Assets führen. Wenn Sie einen DDoS-Simulationstest durchführen möchten, lesen Sie bitte unsere Richtlinie für DDoS-Simulationstest.

Ein Sicherheitstool, das einzig und allein eine Remote-Abfrage Ihrer AWS-Assets durchführt, um einen Software-Namen und eine Software-Version zu bestimmen, z. B. "Banner Grabbing", um damit eine Liste der Versionen zu vergleichen, die schädlich für DoS sind, wird NICHT als Verletzung dieser Richtlinie betrachtet.

Außerdem wird ein Sicherheitstools oder -service, das/der einzig und allein dafür zuständig ist, einen auf Ihrem AWS-Asset ausgeführten Prozess vorübergehend oder auf sonstige Weise für eine remote oder die lokale Ausnutzung im Rahmen dieser Bewertung zum Absturz zu bringen, NICHT als Verletzung dieser Richtlinie betrachtet. Dieses Tool darf sich, wie oben erwähnt, jedoch NICHT an Protokoll-Flooding- oder Ressourcen-Flooding-Aktivitäten beteiligen.

Ein Sicherheitstool oder -service, das/der eine DoS-Bedingung erstellt oder die Existenz einer solchen Bedingung auf eine BELIEBIGE andere Art und Weise tatsächlich oder simuliert bestimmt oder darstellt, ist ausdrücklich unzulässig.

Einige Tools oder Services umfassen tatsächliche DoS-Funktionen (wie beschrieben), und zwar entweder stillschweigend oder inhärent, wenn sie unsachgemäß oder als explizite/r Test/Prüfung oder Funktion des Tools oder Services verwendet werden. Alle Sicherheitstools oder -services mit einer solchen DoS-Funktion müssen explizit in der Lage sein, diese DoS-Funktion zu DEAKTIVIEREN, zu ENTSCHÄRFEN oder auf andere Weise UNSCHÄDLICH zu machen. Ansonsten wird dieses Tool oder dieser Service möglicherweise für KEINEN Aspekt der Sicherheitsbewertung verwendet.

Es liegt im alleinigen Verantwortungsbereich des AWS-Kunden: (1) sicherzustellen, dass die für die Sicherheitsbewertung verwendeten Tools und Services ordnungsgemäß konfiguriert wurden und so funktionieren, dass DoS-Angriffe oder -Simulationen erfolgreich verhindert werden, (2) unabhängig zu validieren, dass die verwendeten Tools und Services VOR der Sicherheitsbewertung von AWS-Assets keine DoS-Angriffe oder -Simulationen durchführen. Diese AWS-Kundenverantwortung erstreckt sich auch auf die Sicherstellung, dass dritte Vertragsnehmer nur Sicherheitsbewertungen durchführen, die dieser Richtlinie entsprechen.

Außerdem sind Sie verantwortlich für alle Schäden, die Sie in AWS oder bei anderen AWS-Kunden aufgrund Ihrer Test- und Sicherheitsbewertungsaktivitäten verursachen.

Wenden Sie sich an einen AWS-Kundenbetreuer
Haben Sie Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Sicherheitsrollen?
Melden Sie sich jetzt an »
Möchten Sie Updates zu AWS Security erhalten?
Folgen Sie uns auf Twitter »