Pruebas de intrusión
Política de soporte para el cliente de AWS para pruebas de penetración
Los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de intrusión en su infraestructura de AWS sin aprobación previa para los servicios enumerados en la siguiente sección bajo “Servicios permitidos”. Además, AWS permite a sus clientes alojar sus herramientas de evaluación de seguridad dentro del espacio IP de AWS u otro proveedor de la nube para pruebas en las instalaciones, en AWS, o a terceros contratados. Todas las pruebas de seguridad que incluyan Command and Control (C2) necesitan autorización previa.
Asegúrese de que estas actividades estén alineadas con la política que se establece a continuación. Nota: No se permite que los clientes realicen por sí solos evaluaciones de seguridad de la infraestructura de AWS o de los servicios de AWS. Si detecta un problema dentro de cualquier servicio de AWS en el transcurso de su evaluación de seguridad, comuníquese con AWS Security de inmediato.
Si AWS recibe un informe de abuso por actividades relacionadas con sus pruebas de seguridad, se lo enviaremos. Al responder, proporciónenos en un lenguaje apropiado un detalle de su caso práctico. Incluya un punto de contacto que podamos compartir con cualquier informante externo. Obtenga más información aquí.
Los revendedores de los servicios de AWS son responsables de las actividades de prueba de seguridad de sus clientes.
Política de servicio al cliente para pruebas de intrusión
Servicios permitidos
- Instancias de Amazon EC2, WAF, puertas de enlace de NAT y equilibradores de carga elásticos
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateways
- AWS AppSync
- Funciones de AWS Lambda y Lambda Edge
- Recursos de Amazon Lightsail
- Entornos de Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Amazon Transit Gateway
- Aplicaciones alojadas en S3 (apuntar a los buckets de S3 está estrictamente prohibido)
Los clientes que deseen probar servicios no aprobados deberán ponerse en contacto directamente con AWS Support o con su representante de cuentas.
Actividades prohibidas
- Consulta exhaustiva de nombres de zona de DNS a través de las zonas alojadas de Amazon Route 53
- Apropiación de DNS a través de Route 53
- Pharming de DNS a través de Route 53
- Denegación de servicio (DoS), denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada (sujetas a la política de pruebas de simulación de DDoS), saturación de protocolos
- Saturación de protocolos
- Saturación de solicitudes (de inicio de sesión o de API)
Otros eventos simulados
Pruebas de equipo rojo, azul, violeta
Las pruebas de equipo rojo, azul, violeta son una simulación de seguridad adversaria diseñada para probar la conciencia sobre la seguridad y los tiempos de respuesta de una organización
Los clientes que deseen realizar una simulación de seguridad adversaria encubierta o alojar Command and Control (C2), deberán enviar una solicitud de simulación de eventos para que la evaluemos.
Pruebas de estrés de red
La prueba de estrés es una prueba de rendimiento que envía un gran volumen de tráfico legítimo o de prueba a un objetivo específico para garantizar una capacidad operativa eficiente. Se espera que la aplicación de punto de conexión realice su función prevista como parte de la prueba. Cualquier intento de abrumar al objetivo se considera una denegación de servicio (DoS).
Los clientes que deseen realizar una prueba de estrés de red deben revisar nuestra política de pruebas de estrés.
Prueba de iPerf
iPerf es una herramienta para medir y ajustar el rendimiento de la red. Es una herramienta multiplataforma que puede producir mediciones de rendimiento estandarizadas para cualquier red.
Los clientes que deseen realizar una prueba de iPerf deben enviar una solicitud de simulación de eventos para que la revisemos.
Prueba de simulación de DDoS
Los ataques de denegación de servicio distribuida (DDoS) se producen cuando los atacantes utilizan una saturación de tráfico proveniente de múltiples fuentes para tratar de afectar la disponibilidad de una aplicación objetivo. La prueba de simulación DDoS utiliza un ataque DDoS controlado que permite al propietario de una aplicación evaluar la resiliencia de la aplicación y practicar la respuesta ante eventos.
Los clientes que deseen realizar una prueba de simulación de DDoS deben revisar nuestra política de pruebas de simulación de DDoS.
Phishing simulado
El phishing simulado es una simulación de un intento de ataque de ingeniería social mediante el cual se intenta obtener información confidencial de los usuarios. El objetivo es identificar a los usuarios e instruirlos sobre las diferencias entre correos electrónicos válidos y correos electrónicos de phishing para aumentar la seguridad de la organización.
Los clientes que deseen realizar campañas de phishing simulado deben enviar una solicitud de simulación de eventos para que la revisemos.
Prueba de malware
La prueba de malware es la práctica de someter archivos o programas maliciosos a aplicaciones o antivirus para mejorar las características de las herramientas.
Los clientes que deseen realizar una prueba de malware deben enviar una solicitud de simulación de eventos para que la revisemos.
Solicitud de autorización para otros eventos simulados
AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Envíe una solicitud de simulación de eventos para contactarnos directamente. (Para los clientes que operan en las regiones de AWS en China (Ningxia y Pekín), utilice esta solicitud de simulación de eventos).
Asegúrese de incluir fechas, los ID de las cuentas involucradas, los activos involucrados e información de contacto, incluido el número telefónico y la descripción detallada de los eventos planificados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días hábiles para confirmarle que hemos recibido su solicitud.
Todas las solicitudes de eventos simulados deben enviarse a AWS con al menos dos (2) semanas de anticipación previas a la fecha de inicio.
Conclusión de las pruebas
Cuando reciba nuestra autorización final, no necesitará hacer nada más. Podrá realizar las pruebas solicitadas hasta que finalice el período indicado.
Términos y condiciones
Todas las pruebas de seguridad deben estar alineadas con los Términos y condiciones de las pruebas de seguridad de AWS.
Pruebas de seguridad:
- se limitarán a los servicios, el ancho de banda de la red, las solicitudes por minuto y el tipo de instancia.
- están sujetas al Contrato de cliente de Amazon Web Services entre usted y AWS
- cumplirán con la política de AWS en lo que respecta al uso de herramientas y servicios de evaluación de seguridad
Cualquier detección de vulnerabilidades u otros problemas que resulten directamente de las herramientas o servicios de AWS se deben comunicar a AWS Security dentro de las 24 horas posteriores a la finalización de la prueba.
Política de AWS sobre el uso de herramientas y servicios de evaluación de seguridad
La política de AWS con respecto al uso de herramientas y servicios de evaluación de la seguridad permite tener una flexibilidad significativa para realizar evaluaciones de seguridad de sus recursos de AWS al tiempo que protege a otros clientes de AWS y garantiza la calidad del servicio en AWS.
AWS entiende que hay una variedad de herramientas y servicios públicos, privados, comerciales o de código abierto entre los que puede elegir a los efectos de realizar una evaluación de seguridad de sus recursos de AWS. El término "evaluación de seguridad" se refiere a toda la actividad realizada con el fin de determinar la eficacia o existencia de controles de seguridad entre sus recursos de AWS, por ejemplo, análisis de puertos, análisis o verificación de vulnerabilidades, pruebas de intrusión, sistema de gestión, análisis de aplicaciones web, así como cualquier actividad de inyección, falsificación o fuzzing, ya sea realizada de forma remota contra sus re de AWS, entre sus recursos de AWS, o localmente dentro de los propios recursos virtualizados.
NO está limitado en la selección que haga de herramientas o servicios para realizar una evaluación de seguridad de sus recursos de AWS. Sin embargo, ESTÁ PROHIBIDO utilizar cualquier herramienta o servicio para hacer ataques de denegación de servicio (DoS) o simulaciones de este tipo contra CUALQUIER recurso de AWS, ya sea de su propiedad o no. Los clientes que deseen realizar una prueba de simulación de DDoS deben revisar nuestra política de pruebas de simulación de DDoS.
Una herramienta de seguridad que solo realiza una consulta remota de su recurso de AWS para determinar el nombre y la versión de un software, como la “captura de nombres de aplicaciones”, con el fin de compararlos con una lista de versiones que se sabe que son vulnerables a DoS, NO infringe esta política.
Además, una herramienta o servicio de seguridad que solo bloquea un proceso en ejecución en su recurso de AWS, temporal o no, según sea necesario para la explotación local o remota como parte de la evaluación de seguridad, NO infringe esta política. Sin embargo, esta herramienta NO puede participar en saturaciones de protocolos o de solicitudes de recursos, como se mencionó anteriormente.
Está expresamente prohibido el uso de una herramienta o servicio de seguridad que cree, determine la existencia o demuestre una condición de DoS de CUALQUIER otra manera, real o simulada.
Algunas herramientas o servicios incluyen capacidades de DoS reales según lo descrito, ya sean silenciosas o inherentes si se usan de forma inadecuada, o como una prueba o verificación explícita o característica de la herramienta o servicio. Cualquier herramienta o servicio de seguridad que tenga dicha capacidad de DoS, debe tener la habilidad explícita para DESACTIVAR, DESARMAR o, de lo contrario, dejar SIN EFECTO esa capacidad de DoS. De lo contrario, esa herramienta o servicio NO se puede emplear para NINGUNA faceta de la evaluación de seguridad.
Es responsabilidad exclusiva del cliente de AWS: (1) asegurarse de que las herramientas y los servicios empleados para realizar una evaluación de seguridad estén correctamente configurados y funcionen bien y de una manera que no realice ataques de DoS o simulaciones de estos, y (2) validar de forma independiente que la herramienta o el servicio empleado no realice ataques DoS, o simulaciones de estos, ANTES de la evaluación de seguridad de los recursos de AWS. Esta responsabilidad del cliente de AWS incluye garantizar que los terceros contratados realicen evaluaciones de seguridad de una manera que no infrinja esta política.
Además, usted es responsable de los daños que provoquen sus actividades de prueba o evaluación de seguridad a AWS o a otros clientes de AWS.