Penetrationstest anfordern
Penetrationstests

In unserer Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) werden zulässige und nicht zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir eine Richtlinie eingeführt, damit unsere Kunden die Autorisierung zur Durchführung von Penetrationstests und Prüfungen auf Schwachstellen anfordern können, die die AWS-Umgebung von außen oder innen bedrohen.


Füllen Sie bitte das Antragsformular für AWS Schwachstellen-/Penetrationstests aus, um eine Autorisierung zur Durchführung von Penetrationstests ausgehend von beliebigen AWS-Ressourcen anzufordern. Bei der Beantragung von Penetrationstests sind mehrere wichtige Aspekte zu beachten:

  • Die Berechtigung ist für alle Penetrationstests erforderlich.
  • Zum Beantragen der Berechtigung müssen Sie mit den Anmeldeinformationen am AWS-Portal angemeldet sein, die mit den Instances verknüpft sind, die Sie testen möchten. Andernfalls wird das Formular nicht ordnungsgemäß vorausgefüllt. Wenn Sie die Tests von einem Drittanbieter durchführen lassen, sollten Sie das Formular ausfüllen und dann dem Drittanbieter Bescheid geben, sobald wir die Genehmigung erteilt haben.
  • Unsere Richtlinie ermöglicht nur das Testen von EC2- und RDS-Instances, die Ihnen gehören. Testen mit anderen AWS-Services oder von anderen, AWS gehörenden Ressourcen, ist verboten.
  • Bitte beachten Sie: Derzeit ist das Testen der RDS-Instance-Typen "small" oder "micro" im Rahmen unserer Richtlinie nicht gestattet. Das Testen von m1.small-, t1.micro- oder t2.nano-EC2-Instance-Typen ist nicht zulässig. Nur so können mögliche ungünstige Leistungsbeeinträchtigungen der Ressourcen, die mit anderen Kunden gemeinsam genutzt werden, verhindert werden.

Das Formular, das Sie einsenden, fragt verschiedene Informationen zu den Instances, die Sie testen möchten, sowie die voraussichtlichen Start- und Endtermine und Zeiten von Tests ab. Außerdem müssen Sie Geschäftsbedingungen lesen und akzeptieren, die speziell für Penetrationstests und die Verwendung geeigneter Tools zum Testen gelten. Beachten Sie, dass das Enddatum nur maximal 90 Tage nach dem Startdatum liegen darf.

Informationen, die Sie im Rahmen dieser Vorgehensweise an AWS weitergeben, werden innerhalb von AWS vertraulich behandelt. Die Informationen werden nicht ohne Ihre Zustimmung an andere weitergegeben.

Wir beantworten Ihre Anfrage, sobald wir sie überprüft haben. Dies kann bis zu zwei Werktage dauern. Wenn Ihre Anfrage genehmigt wurde, erhalten Sie eine Autorisierungsnummer. Falls wir Fragen haben, bitten wir um Klärung. Beachten Sie, dass Rückfragen zur Einholung weiterer Informationen diesen Vorgang verzögern können. Planen Sie daher entsprechend und vergewissern Sie sich, dass Ihre Anfrage schon beim ersten Mal so detailliert wie möglich ist.

Penetrationstest wird angefordert

• Sicherheitssimulationen oder Sicherheits-Spieltage

• Support-Simulationen oder Support-Spieltage

• Kriegsspielsimulationen

• Weiße Karten

• Tests durch Red Team und Blue Team

• Simulationen der Notfallwiederherstellung

• Andere simulierte Ereignisse

Senden Sie uns eine E-Mail direkt an aws-security-simulated-event@amazon.com. Wenn Sie Ihr Ereignis bekannt geben, achten Sie darauf, folgende Details zum Ereignis zu übermitteln:

• Termine

• Betroffene Konten

• Betroffene Komponenten

• Kontaktinformationen einschließlich Telefonnummer

• Detailbeschreibung der geplanten Ereignisse

AWS hat sich verpflichtet, schnell zu antworten und Sie über Fortschritte zu informieren. Innerhalb von zwei Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.

Nachdem wir die von Ihnen in der Anforderung übermittelten Informationen überprüft haben, geben wir sie an die betroffenen Teams zur Auswertung weiter. Aufgrund der Art dieser Anforderungen wird jede eingehende Sendung manuell geprüft und eine Antwort kann bis zu sieben Tage dauern. Eine endgültige Entscheidung kann länger in Anspruch nehmen, wenn zusätzliche Informationen für die Bewertung erforderlich werden.

Wenn Sie die abschließende Berechtigung erhalten haben, sind von Ihrer Seite keine weiteren Aktionen erforderlich. Sie können den Test bis zum Abschluss des von Ihnen angegebenen Zeitraums durchführen.

Simuliertes Ereignis anfordern

 

Kontakt