- AWS Cloud Security›
- Penetrationstests
Penetrationstests
AWS-Kundensupportrichtlinie für Penetrationstests
AWS-Kunden können ohne vorherige Genehmigung Sicherheitsbewertungen oder Penetrationstests ihrer AWS-Infrastruktur für die im nächsten Abschnitt unter „Erlaubte Services“ aufgeführten Services durchführen. Außerdem erlaubt AWS seinen Kunden, ihre Sicherheitsbewertungs-Tools innerhalb des AWS-IP-Bereichs oder bei einem anderen Cloud-Anbieter zu hosten, um sie vor Ort, in AWS oder bei einem Drittanbieter zu testen. Alle Sicherheitstests, die die Befehls- und Kontrollfunktionen (Command and Control – C2) einschließen, bedürfen der vorherigen Genehmigung.
Stellen Sie sicher, dass diese Aktivitäten den Bestimmungen in der unten definierten Richtlinie entsprechen. Hinweis: Kunden dürfen keine, Sicherheitsbewertungen der AWS-Infrastruktur oder der AWS-Services selbst durchzuführen. Wenn Sie im Rahmen Ihrer Sicherheitsbewertungen ein Sicherheitsproblem in einem beliebigen AWS-Service erkennen, nehmen sie bitte umgehend Kontakt mit AWS Security auf.
Wenn AWS einen Missbrauchsbericht über Aktivitäten im Zusammenhang mit Ihrem Sicherheitstest erhält, leiten wir diesen an Sie weiter. Wenn Sie antworten, fügen Sie bitte eine genehmigte Beschreibung Ihres Anwendungsfalls und die Kontaktdaten einer Ansprechperson bei, die wir an die Berichterstatter weitergeben können. Weitere Informationen finden Sie hier.
Wiederverkäufer von AWS-Services sind für die Sicherheitstests ihrer Kunden verantwortlich.
Kundendienstrichtlinie für Penetrationstests
Zulässige Services
- Amazon-EC2-Instances, WAF, NAT Gateways, und Elastic Load Balancers
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateways
- AWS AppSync
- AWS-Lambda- und Lambda-Edge-Funktionen
- Amazon Lightsail-Ressourcen
- Amazon-Elastic-Beanstalk-Umgebungen
- Amazon Elastic Container Service
- AWS Fargate
- Amazon OpenSearch Service
- Amazon FSx
- Amazon Transit Gateway
Kunden, die nicht genehmigte Services testen möchten, müssen direkt mit dem AWS Support oder ihrem Kundenbetreuer zusammenarbeiten.
Verbotene Aktivitäten
Kunden, die nicht genehmigte Services testen möchten, müssen direkt mit dem AWS Support oder ihrem Kundenbetreuer zusammenarbeiten.
- DNS Zone Walking über gehostete Amazon-Route-53-Zonen
- DNS-Hijacking über Route 53
- DNS-Pharming über Route 53
- Denial of Service (DoS), Distributed Denial of Service (DDoS),
- Simulated DoS, Simulated DDoS (Diese unterliegen der Richtlinie für DDoS-Simulationstests) Port-Flooding
- Protokoll-Flooding
- Anforderungs-Flooding (Anmeldeanforderungs-Flooding, API-Anforderungs-Flooding)
- Übernahme des S3-Buckets
- Übernahme der Subdomain
Verbotene Services für Penetrationstests für ausgehenden Datenverkehr
- Amazon API Gateway
Themen der Seite
Andere simulierte Ereignisse
Alles öffnenRot/Blau/Violett-Team-Tests sind gegnerische Sicherheitssimulationen, mit denen das Sicherheitsbewusstsein und die Reaktionszeiten eines Unternehmens getestet werden sollen.
Kunden, die verdeckte gegnerische Sicherheitssimulationen durchführen möchten und/oder Command and Control (C2) hosten, müssen das Formular für simulierte Ereignisse zur Prüfung einreichen.
Netzwerkstresstests oder Lasttests sind Leistungstests, bei denen ein hohes Volumen an legitimen oder Testdatenverkehr an eine bestimmte Zielanwendung gesendet wird, um eine effiziente operative Kapazität sicherzustellen. Kunden, die einen Netzwerk-Stresstest durchführen möchten, sollten unsere Richtlinie für Stresstests lesen.
Distributed Denial of Service-Angriffe (DDoS-Angriffe) entstehen, wenn Angreifer eine Zielanwendung mit einer Datenverkehrsflut aus diversen Quellen überschwemmen, um die Verfügbarkeit der Anwendung zu beeinträchtigen. Kunden, die einen DDoS-Simulationstest durchführen möchten, sollten unsere Richtlinie für DDoS-Simulationstests lesen.
iPerf ist ein Tool zur Messung und Optimierung der Netzwerkleistung. Kunden, die iPerf-Tests durchführen möchten, müssen das Formular für simulierte Ereignisse zur Überprüfung einreichen.
Simuliertes Phishing bezeichnet die Nachbildung eines Social-Engineering-Angriffs, der darauf abzielt, vertrauliche Informationen von Nutzern zu erhalten. Ziel ist es, Benutzer zu identifizieren und sie über den Unterschied zwischen echten E-Mails und Phishing-E-Mails aufzuklären, um die Sicherheit des Unternehmens zu erhöhen.
Kunden, die eine simulierte Phishing-Kampagne durchführen möchten, müssen das Formular für simulierte Ereignisse zur Überprüfung einreichen.
Bei Malware-Tests werden schädliche Dateien oder Programme mithilfe von Anwendungen oder Antivirenprogrammen überprüft, um die Sicherheitsfunktionen zu verbessern.
Kunden, die Malware-Tests durchführen möchten, müssen das Formular für simulierte Ereignisse zur Überprüfung einreichen.
AWS setzt sich dafür ein, zeitnah zu reagieren und Sie über den Fortschritt auf dem Laufenden zu halten. Bitte reichen Sie das Formular für simulierte Ereignisse ein, um uns direkt zu kontaktieren. (Kunden, die in der Region AWS China (Ningxia und Peking) tätig sind verwenden bitte dieses Formular für simulierte Ereignisse.)
Geben Sie unbedingt die Daten, die betroffenen Konto-IDs, die betroffenen Komponenten und die Kontaktinformationen an, einschließlich Telefonnummer und ausführlicher Beschreibung der geplanten Ereignisse. Innerhalb von 2 Werktagen erhalten Sie in der Regel eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Eingang Ihres Antrags bestätigt wird.
Alle Anträge für simulierte Ereignisse müssen mindestens zwei (2) Wochen vor dem Starttermin bei AWS eingereicht werden.
Wenn Sie die abschließende Berechtigung erhalten haben, sind von Ihrer Seite keine weiteren Maßnahmen erforderlich. Sie können den Test bis zum Ende des von Ihnen angegebenen Zeitraums durchführen.
Allgemeine Geschäftsbedingungen
Alle Sicherheitstests müssen gemäß den AWS-Sicherheitstestbedingungen durchgeführt werden.
Sicherheitstests:
- Werden auf die Services Netzwerkbandbreite, Anforderungen pro Minute und Instance-Typen beschränkt.
- Unterliegen den Bedingungen des Amazon Web Services Customer Agreement zwischen Ihnen und AWS
- Halten die Bestimmungen der AWS-Richtlinie zur Verwendung der im nächsten Abschnitt enthaltenen Sicherheitsbewertungstools und -Services ein
Alle ermittelten Schwachstellen oder andere Probleme ergeben sich direkt aus den AWS-Tools und -Services und müssen innerhalb von 24 Stunden nach Abschluss des Tests per E-Mail an AWS Security übermittelt werden.
AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -Services
Die AWS-Richtlinie zur Verwendung von Sicherheitsbewertungstools und -services bietet umfassende Flexibilität bei der Ausführung von Sicherheitsbewertungen für Ihre AWS-Assets und schützt dabei andere AWS-Kunden durch die Sicherstellung der Servicequalität in AWS.
AWS ist bekannt, dass eine große Auswahl öffentlicher, privater, kommerzieller und/oder Open-Source-Tools und -Services für Sicherheitsbewertungen Ihrer AWS-Assets verfügbar ist. Der Begriff „Sicherheitsbewertung“ bezeichnet alle Aktivitäten, die den Zweck verfolgen, die Wirksamkeit oder Existenz von Sicherheitskontrollen für Ihre AWS-Assets zu bestimmen, z. B. Port-Scans, Schwachstellen-Scans/-Prüfungen, Penetrationstests, Exploitation, Webanwendungs-Scans sowie Aktivitäten wie Injection-, Forgery- oder Fuzzing-Tests, die entweder remote gegen Ihre AWS-Assets, zwischen Ihren AWS-Assets oder lokal innerhalb der virtuellen Assets durchgeführt werden.
Es gelten KEINE Beschränkungen in Bezug auf die Auswahl der Tools oder Services zur Durchführung von Sicherheitsbewertungen für Ihre AWS-Assets. Es ist jedoch UNTERSAGT, Tools oder Services so zu verwenden, dass sie Denial-of-Service (DoS)-Angriffe oder entsprechende Simulationen gegen BELIEBIGE AWS-Assets, gleichgültig ob eigene oder fremde, durchführen. Kunden, die einen DDoS-Simulationstest durchführen möchten, sollten unsere Richtlinie für DDoS-Simulationstests lesen.
Ein Sicherheitstool, das einzig und allein eine Remote-Abfrage Ihrer AWS-Assets durchführt, um einen Software-Namen und eine Software-Version zu bestimmen, z. B. „Banner Grabbing“, um damit eine Liste der Versionen zu vergleichen, die schädlich für DoS sind, wird NICHT als Verstoß gegen diese Richtlinie betrachtet.
Außerdem wird ein Sicherheitstool oder -Service, das/der ausschließlich dazu dient, einen auf Ihrem AWS-Asset ausgeführten Prozess vorübergehend oder dauerhaft zum Absturz zu bringen, wenn dies für eine remote oder lokale Analyse im Rahmen einer Sicherheitsbewertung erforderlich ist, NICHT als Verstoß dieser Richtlinie betrachtet. Dieses Tool darf, wie oben erwähnt, jedoch KEINE Protokoll-Flooding- oder Ressourcen-Flooding-Angriffe durchführen.
Ein Sicherheitstool oder -service, das/der eine DoS-Bedingung auf BELIEBIGE andere Weise erzeugt, feststellt oder demonstriert, sei sie tatsächlich oder simuliert, ist ausdrücklich verboten.
Einige Tools oder Services verfügen über tatsächliche DoS-Funktionen, wie beschrieben, entweder stillschweigend oder inhärent, wenn sie unsachgemäß verwendet werden, oder ausdrücklich als Test, Überprüfung oder Funktion des Tools oder Services. Alle Sicherheitstools oder -services mit einer solchen DoS-Funktion müssen explizit in der Lage sein, diese DoS-Funktion zu DEAKTIVIEREN, zu ENTSCHÄRFEN oder auf andere Weise UNSCHÄDLICH zu machen. Ansonsten wird dieses Tool oder dieser Service möglicherweise für KEINEN Aspekt der Sicherheitsbewertung verwendet.
Es liegt in der alleinigen Verantwortung des AWS-Kunden: (1) sicherzustellen, dass die für die Sicherheitsbewertung verwendeten Tools und Services ordnungsgemäß konfiguriert sind und so betrieben werden, dass sie keine DoS-Angriffe oder entsprechende Simulationen ausführen, und (2) eigenständig zu überprüfen, dass die verwendeten Tools und Services VOR der Sicherheitsbewertung von AWS-Assets keine DoS-Angriffe oder Simulationen durchführen. Diese AWS-Kundenverantwortung erstreckt sich auch auf die Sicherstellung, dass dritte Vertragsnehmer nur Sicherheitsbewertungen durchführen, die dieser Richtlinie entsprechen.
Außerdem sind Sie verantwortlich für alle Schäden, die Sie in AWS oder bei anderen AWS-Kunden aufgrund Ihrer Test- und Sicherheitsbewertungsaktivitäten verursachen.