AWS-Kunden sind ab sofort eingeladen, ohne vorherige Genehmigung ihre AWS-Infrastruktur für acht Services Sicherheitsbewertungen oder Penetrationstests zu unterziehen.

Stellen Sie sicher, dass diese Aktivitäten den Bestimmungen in der unten definierten Richtlinie entsprechen. Hinweis: Kunden sind nicht berechtigt, Sicherheitsbewertungen der AWS-Infrastruktur oder der AWS-Services selbst durchzuführen. Wenn Sie während Ihrer Sicherheitsbewertungen ein Sicherheitsproblem in einem beliebigen AWS-Service erkennen, nehmen Sie sofort Kontakt mit AWS Security auf.

Private Vorversion und Stillschweigensvereinbarung (NDA) – Wir führen derzeit ein Vorversionsprogramm für Sicherheitsbewertungen für die unten genannten Services durch. Bevor Sie derartige Bewertungen durchführen, wenden Sie sich zur Unterzeichnung einer Stillschweigensvereinbarung (NDA) zunächst an AWS Compliance:

o Amazon CloudFront

Zulässige Services – Sie sind herzlich eingeladen, Sicherheitsbewertungen für AWS-Ressourcen in Ihrem Besitz durchzuführen, wenn diese die unten aufgeführten Services nutzen. Wir aktualisieren diese Liste regelmäßig. Klicken Sie hier, um uns Rückmeldungen zu geben oder die Berücksichtigung weiterer Services zu beantragen:

o Amazon EC2 Instances, NAT Gateways und Elastic Load Balancers
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateways
o AWS Lambda- und Lambda Edge-Funktionen
o Amazon Lightsail-Ressourcen
o Amazon Elastic Beanstalk-Umgebungen

Unzulässige Aktivitäten – Die folgenden Aktivitäten dürfen gegenwärtig nicht ausgeführt werden:

o DNS Zone Walking über gehostete Amazon Route 53-Zonen
o Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
o Port-Flooding
o Protokoll-Flooding
o Anforderungs-Flooding (Anmeldeanforderungs-Flooding, API-Anforderungs-Flooding)

Missbrauchsberichte – Wenn AWS einen Missbrauchsbericht für Aktivitäten in Bezug auf Ihre Sicherheitstests erhält, werden wir diesen Bericht an Sie weiterleiten. Sie sind verpflichtet, innerhalb von 24 Stunden nach der Benachrichtigung auf diese Berichte zu reagieren. Stellen Sie in Ihrer Antwort bitte die Ursache der gemeldeten Aktivität dar, und erläutern Sie, was Sie unternommen haben, damit das gemeldete Problem künftig nicht erneut auftritt. Klicken Sie hier, um mehr über die Erstellung von Missbrauchsberichten zu erfahren.

Verantwortlichkeit der Vertriebspartner – Vertriebspartner für AWS-Services sind für die Sicherheitstestaktivitäten ihrer Kunden verantwortlich

Alle Sicherheitstests müssen gemäß den AWS-Sicherheitstestbedingungen durchgeführt werden (siehe unten).

Wir möchten, dass Sie Ihre Sicherheitstests als positive Erfahrung wahrnehmen und den benötigten objektiven Nachweise ohne Fehler und Unterbrechungen erbringen können. Im Folgenden finden Sie einige hilfreiche Tipps. Wenn Sie diesen Tipps folgen, können Sie diese Erfahrung höchstwahrscheinlich verbessern. Auch Ihre Anbieter, AWS und andere AWS-Kunden werden diese Tipps schätzen.

Geschwindigkeitsbegrenzung – Um sicherzustellen, dass Ihre Tests erfolgreich verlaufen, begrenzen Sie Ihre Scan-Aktivitäten bitte auf 1 GBit/s oder 10 000 RPS.

Instance-Typen – Wir empfehlen, die folgenden EC2-Instance-Typen aus Sicherheitsbewertungen auszuschließen, um so potenzielle Unterbrechungen Ihrer Umgebung zu minimieren.

o T3.nano
o T2.nano
o T1.micro
o M1.small

Testen von IP-Adressen – Aufgrund der dynamischen Natur einer Cloud-Umgebung sollten alle IP-Adressen vor Beginn eines Tests überprüft werden, um so das aktuelle Eigentum an der IP-Adresse sicherzustellen.

Wenden Sie sich bei allen Fragen per E-Mail an aws-security-simulated-event@amazon.com.

Sicherheitstests (die Tests):
(a) werden auf die auf der AWS-Website genannten Services, Netzwerkbandbreite, Anforderungen pro Minute und Instance-Typen beschränkt: 

https://aws.amazon.com/security/penetration-testing/

(b) unterliegen den Bedingungen des Amazon Web Services-Kundenvertrags zwischen Ihnen und AWS (abrufbar unter http://aws.amazon.com/agreement/) (der "Vertrag") und

(c) halten die Bestimmungen der AWS-Richtlinie zur Verwendung der Sicherheitsbewertungstools und -services ein (unten genannt).

Alle ermittelten Schwachstellen oder andere Probleme, die direkt aus den AWS-Tools und -Services resultieren, müssen innerhalb von 24 Stunden nach Abschluss des Tests per E-Mail an aws-security@amazon.com übermittelt werden.

Die AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -services bietet umfassende Flexibilität bei der Ausführung von Sicherheitsbewertungen für Ihre AWS-Assets und schützt dabei andere AWS-Kunden durch die Sicherstellung der Servicequalität in AWS.

AWS ist bekannt, dass eine große Auswahl öffentlicher, privater, kommerzieller und/oder Open-Source-Tools und -Services für Sicherheitsbewertungen Ihrer AWS-Assets verfügbar ist. Der Begriff "Sicherheitsbewertung" bezieht sich auf alle Aktivitäten, die den Zweck verfolgen, die Wirksamkeit oder Existenz von Sicherheitsprüfungen für Ihre AWS-Assets zu bestimmen, z. B. Port-Scans, Schwachstellen-Scans/-Prüfungen, Penetrationstests, Ausnutzung, Webanwendungs-Scans sowie sämtliche Injektions-, Fälschungs- oder Verzerrungsaktivitäten, die entweder remote in Bezug auf Ihre AWS-Assets, zwischen Ihren AWS-Assets oder lokal innerhalb der virtuellen Assets selbst durchgeführt werden.

Es gelten KEINE Beschränkungen in Bezug auf die Auswahl der Tools oder Services zur Durchführung von Sicherheitsbewertungen für Ihre AWS-Assets. Es ist jedoch UNZULÄSSIG, Tools oder Services auf eine Art und Weise zu verwenden, die zu Denial-of-Service (DoS)-Angriffen oder -Simulationen in Bezug auf BELIEBIGE eigene oder fremde AWS-Assets führen. Im Folgenden werden unzulässige Aktivitäten (ohne Anspruch auf Vollständigkeit) aufgeführt:


• Protokoll-Flooding (z. B. SYN-Flooding, ICMP-Flooding, UDP-Flooding)
• Ressourenanforderungs-Flooding (z. B. HTTP-Anforderungs-Flooding, Anmeldeanforderungs-Flooding, API-Anforderungs-Flooding)

Ein Sicherheitstool, das einzig und allein eine Remote-Abfrage Ihrer AWS-Assets durchführt, um einen Software-Namen und eine Software-Version zu bestimmen, z. B. "Banner Grabbing", um damit eine Liste der Versionen zu vergleichen, die schädlich für DoS sind, wird NICHT als Verletzung dieser Richtlinie betrachtet.

Außerdem wird ein Sicherheitstools oder -service, das/der einzig und allein dafür zuständig ist, einen auf Ihrem AWS-Asset ausgeführten Prozess vorübergehend oder auf sonstige Weise für eine remote oder die lokale Ausnutzung im Rahmen dieser Bewertung zum Absturz zu bringen, NICHT als Verletzung dieser Richtlinie betrachtet. Dieses Tool darf sich, wie oben erwähnt, jedoch NICHT an Protokoll-Flooding- oder Ressourcen-Flooding-Aktivitäten beteiligen.

Ein Sicherheitstool oder -service, das/der eine DoS-Bedingung erstellt oder die Existenz einer solchen Bedingung auf eine BELIEBIGE andere Art und Weise tatsächlich oder simuliert bestimmt oder darstellt, ist ausdrücklich unzulässig.

Einige Tools oder Services umfassen tatsächliche DoS-Funktionen (wie beschrieben), und zwar entweder stillschweigend oder inhärent, wenn sie unsachgemäß oder als explizite/r Test/Prüfung oder Funktion des Tools oder Services verwendet werden. Alle Sicherheitstools oder -services mit einer solchen DoS-Funktion müssen explizit in der Lage sein, diese DoS-Funktion zu DEAKTIVIEREN, zu ENTSCHÄRFEN oder auf andere Weise UNSCHÄDLICH zu machen. Ansonsten wird dieses Tool oder dieser Service möglicherweise für KEINEN Aspekt der Sicherheitsbewertung verwendet.

Es liegt im alleinigen Verantwortungsbereich des AWS-Kunden: (1) sicherzustellen, dass die für die Sicherheitsbewertung verwendeten Tools und Services ordnungsgemäß konfiguriert wurden und so funktionieren, dass DoS-Angriffe oder -Simulationen erfolgreich verhindert werden, (2) unabhängig zu validieren, dass die verwendeten Tools und Services VOR der Sicherheitsbewertung von AWS-Assets keine DoS-Angriffe oder -Simulationen durchführen. Diese AWS-Kundenverantwortung erstreckt sich auch auf die Sicherstellung, dass dritte Vertragsnehmer nur Sicherheitsbewertungen durchführen, die dieser Richtlinie entsprechen.

Außerdem sind Sie verantwortlich für alle Schäden, die Sie in AWS oder bei anderen AWS-Kunden aufgrund Ihrer Test- und Sicherheitsbewertungsaktivitäten verursachen.

Anfordern von Penetrationstests

AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Innerhalb von zwei Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Nachdem wir die von Ihnen in der Anforderung übermittelten Informationen überprüft haben, geben wir sie an die betroffenen Teams zur Auswertung weiter. Aufgrund der Art dieser Anforderungen wird jede eingehende Übermittlung manuell geprüft, eine Antwort kann bis zu sieben Tage dauern. Eine endgültige Entscheidung kann länger in Anspruch nehmen, wenn zusätzliche Informationen für die Bewertung erforderlich werden.

• Sicherheitssimulationen oder Sicherheits-Spieltage

• Support-Simulationen oder Support-Spieltage

• Kriegsspielsimulationen

• Weiße Karten

• Tests durch Red Team und Blue Team

• Simulationen der Notfallwiederherstellung

• Andere simulierte Ereignisse

Senden Sie uns eine E-Mail direkt an aws-security-simulated-event@amazon.com. Wenn Sie Ihr Ereignis bekannt geben, achten Sie darauf, folgende Details zum Ereignis zu übermitteln:

• Termine

• Betroffene Konten

• Betroffene Komponenten

• Kontaktinformationen, einschließlich Telefonnummer

• Detailbeschreibung der geplanten Ereignisse

AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Innerhalb von zwei Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Nachdem wir die von Ihnen in der Anforderung übermittelten Informationen überprüft haben, geben wir sie an die betroffenen Teams zur Auswertung weiter. Aufgrund der Art dieser Anforderungen wird jede eingehende Übermittlung manuell geprüft, eine Antwort kann bis zu sieben Tage dauern. Eine endgültige Entscheidung kann länger in Anspruch nehmen, wenn zusätzliche Informationen für die Bewertung erforderlich werden.

Wenn Sie die abschließende Berechtigung erhalten haben, sind von Ihrer Seite keine weiteren Maßnahmen erforderlich. Sie können den Test bis zum Abschluss des von Ihnen angegebenen Zeitraums durchführen.

Kunden ohne Enterprise Support, Ladetests und DoS-Simulation erhalten Support über vorab genehmigte Anbieter, die im Folgenden genannt werden. Bitte richtigen Sie Ihre Anfrage an die richtige Adresse.

Kunden mit Enterprise Support, die ihre eigenen unabhängigen Tests durchführen möchten, stellen bitte eine Enterprise Support-Anfrage über das Support Center. Arbeiten Sie mit Ihrem Technical Account Manager (TAM) zusammen, um Ihre Tests mindestens zwei Wochen im Voraus zu koordinieren.

Derzeit genehmigte Anbieter:

Vendors Red Wolf Security

NCC Group

AWS ProServ

 

Simuliertes Ereignis anfordern

 

Kontakt