Penetrationstests

Testen Sie die AWS-Umgebung anhand definierter Sicherheitsstandards

AWS Kundensupportrichtlinie für Penetrationstests

AWS-Kunden sind eingeladen, ohne vorherige Genehmigung ihre AWS-Infrastruktur für acht Services, die im nächsten Abschnitt unter „Erlaubte Services“ aufgeführt sind, Sicherheitsbewertungen oder Penetrationstests zu unterziehen.

Stellen Sie sicher, dass diese Aktivitäten den Bestimmungen in der unten definierten Richtlinie entsprechen. Hinweis: Kunden sind nicht berechtigt, Sicherheitsbewertungen der AWS-Infrastruktur oder der AWS-Services selbst durchzuführen. Wenn Sie während Ihrer Sicherheitsbewertungen ein Sicherheitsproblem in einem beliebigen AWS-Service erkennen, nehmen Sie sofort Kontakt mit AWS Security auf.

Wenn AWS einen Missbrauchsbericht für Aktivitäten in Bezug auf Ihre Sicherheitstests erhält, werden wir diesen Bericht an Sie weiterleiten. Stellen Sie in Ihrer Antwort bitte die Ursache der gemeldeten Aktivität dar, und erläutern Sie, was Sie unternommen haben, damit das gemeldete Problem künftig nicht erneut auftritt. Weitere Informationen finden Sie hier.

Vertriebspartner für AWS-Services sind für die Sicherheitstestaktivitäten ihrer Kunden verantwortlich.

Kundendienstrichtlinie für Penetrationstests

Erlaubte Services

  • Amazon EC2 Instances, NAT Gateways und Elastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • AWS Lambda- und Lambda Edge-Funktionen
  • Amazon Lightsail-Ressourcen
  • Amazon Elastic Beanstalk-Umgebungen

Verbotene Aktivitäten

  • DNS Zone Walking über gehostete Amazon Route 53-Zonen
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS (Diese unterliegen der Richtlinie für DDoS-Simulationstest)
  • Port-Flooding
  • Protokoll-Flooding
  • Anforderungs-Flooding (Anmeldeanforderungs-Flooding, API-Anforderungs-Flooding)

Andere simulierte Ereignisse

Anforderung der Autorisierung für andere simulierte Ereignisse

AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Bitte senden Sie ein Formular für simulierte Ereignisse, um uns direkt zu kontaktieren. (Für Kunden, die in der RegionAWS China (Ningxia & Peking) tätig sind, verwenden Sie bitte dieses Formular für simulierte Ereignisse.)

Achten Sie darauf, dass Sie Daten, betroffene Konten, betroffene Komponenten und Kontaktinformationen angeben, einschließlich Telefonnummer und detaillierter Beschreibung der geplanten Ereignisse. Innerhalb von zwei Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Testabschluss

Wenn Sie die abschließende Berechtigung erhalten haben, sind von Ihrer Seite keine weiteren Maßnahmen erforderlich. Sie können den Test bis zum Ende des von Ihnen angegebenen Zeitraums durchführen. 

Netzwerk-Belastungstest

Wenn Sie einen Netzwerk-Belastungstest durchführen möchten, lesen Sie bitte unsere Richtlinie für Belastungstest.  

DDoS-Simulationstest

Wenn Sie einen DDoS-Simulationstest durchführen möchten, lesen Sie bitte unsere Richtlinie für DDoS-Simulationstest.

Bedingungen

Alle Sicherheitstests müssen gemäß den AWS-Sicherheitstestbedingungen durchgeführt werden.

Sicherheitstests:

  • Werden auf die Services Netzwerkbandbreite, Anforderungen pro Minute und Instance-Typen beschränkt
  • Unterliegen den Bedingungen des Amazon Web Services Customer Agreement zwischen Ihnen und AWS
  • Halten die Bestimmungen der AWS-Richtlinie zur Verwendung der im nächsten Abschnitt enthaltenen Sicherheitsbewertungstools und -Services ein

Alle ermittelten Schwachstellen oder andere Probleme ergeben sich direkt aus den AWS-Tools und -Services und müssen innerhalb von 24 Stunden nach Abschluss des Tests per E-Mail an AWS Security übermittelt werden.

AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -Services

Die AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -services bietet umfassende Flexibilität bei der Ausführung von Sicherheitsbewertungen für Ihre AWS-Assets und schützt dabei andere AWS-Kunden durch die Sicherstellung der Servicequalität in AWS.

AWS ist bekannt, dass eine große Auswahl öffentlicher, privater, kommerzieller und/oder Open-Source-Tools und -Services für Sicherheitsbewertungen Ihrer AWS-Assets verfügbar ist. Der Begriff "Sicherheitsbewertung" bezieht sich auf alle Aktivitäten, die den Zweck verfolgen, die Wirksamkeit oder Existenz von Sicherheitsprüfungen für Ihre AWS-Assets zu bestimmen, z. B. Port-Scans, Schwachstellen-Scans/-Prüfungen, Penetrationstests, Ausnutzung, Webanwendungs-Scans sowie sämtliche Injektions-, Fälschungs- oder Verzerrungsaktivitäten, die entweder remote in Bezug auf Ihre AWS-Assets, zwischen Ihren AWS-Assets oder lokal innerhalb der virtuellen Assets selbst durchgeführt werden.

Es gelten KEINE Beschränkungen in Bezug auf die Auswahl der Tools oder Services zur Durchführung von Sicherheitsbewertungen für Ihre AWS-Assets. Es ist jedoch UNZULÄSSIG, Tools oder Services auf eine Art und Weise zu verwenden, die zu Denial-of-Service (DoS)-Angriffen oder -Simulationen in Bezug auf BELIEBIGE eigene oder fremde AWS-Assets führen. Wenn Sie einen DDoS-Simulationstest durchführen möchten, lesen Sie bitte unsere Richtlinie für DDoS-Simulationstest.

Ein Sicherheitstool, das einzig und allein eine Remote-Abfrage Ihrer AWS-Assets durchführt, um einen Software-Namen und eine Software-Version zu bestimmen, z. B. "Banner Grabbing", um damit eine Liste der Versionen zu vergleichen, die schädlich für DoS sind, wird NICHT als Verletzung dieser Richtlinie betrachtet.

Außerdem wird ein Sicherheitstools oder -service, das/der einzig und allein dafür zuständig ist, einen auf Ihrem AWS-Asset ausgeführten Prozess vorübergehend oder auf sonstige Weise für eine remote oder die lokale Ausnutzung im Rahmen dieser Bewertung zum Absturz zu bringen, NICHT als Verletzung dieser Richtlinie betrachtet. Dieses Tool darf sich, wie oben erwähnt, jedoch NICHT an Protokoll-Flooding- oder Ressourcen-Flooding-Aktivitäten beteiligen.
Ein Sicherheitstool oder -service, das/der eine DoS-Bedingung erstellt oder die Existenz einer solchen Bedingung auf eine BELIEBIGE andere Art und Weise tatsächlich oder simuliert bestimmt oder darstellt, ist ausdrücklich unzulässig.

Einige Tools oder Services umfassen tatsächliche DoS-Funktionen (wie beschrieben), und zwar entweder stillschweigend oder inhärent, wenn sie unsachgemäß oder als explizite/r Test/Prüfung oder Funktion des Tools oder Services verwendet werden. Alle Sicherheitstools oder -services mit einer solchen DoS-Funktion müssen explizit in der Lage sein, diese DoS-Funktion zu DEAKTIVIEREN, zu ENTSCHÄRFEN oder auf andere Weise UNSCHÄDLICH zu machen. Ansonsten wird dieses Tool oder dieser Service möglicherweise für KEINEN Aspekt der Sicherheitsbewertung verwendet.

Es liegt im alleinigen Verantwortungsbereich des AWS-Kunden: (1) sicherzustellen, dass die für die Sicherheitsbewertung verwendeten Tools und Services ordnungsgemäß konfiguriert wurden und so funktionieren, dass DoS-Angriffe oder -Simulationen erfolgreich verhindert werden, (2) unabhängig zu validieren, dass die verwendeten Tools und Services VOR der Sicherheitsbewertung von AWS-Assets keine DoS-Angriffe oder -Simulationen durchführen. Diese AWS-Kundenverantwortung erstreckt sich auch auf die Sicherstellung, dass dritte Vertragsnehmer nur Sicherheitsbewertungen durchführen, die dieser Richtlinie entsprechen.

Außerdem sind Sie verantwortlich für alle Schäden, die Sie in AWS oder bei anderen AWS-Kunden aufgrund Ihrer Test- und Sicherheitsbewertungsaktivitäten verursachen.

Wenden Sie sich an einen AWS-Kundenbetreuer
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Sicherheitsrollen?
Melden Sie sich jetzt an »
Möchten Sie Updates zu AWS Security erhalten?
Folgen Sie uns auf Twitter »