Con vigencia inmediata, los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de intrusión en su infraestructura de AWS de 8 servicios sin aprobación previa.

Asegúrese de que estas actividades estén alineadas con la política que se establece a continuación. Nota: No se permite que los clientes realicen por sí solos evaluaciones de seguridad de la infraestructura de AWS o de los servicios de AWS. Si detecta un problema dentro de cualquier servicio de AWS en el transcurso de la evaluación de seguridad, comuníquese con Seguridad de AWS de inmediato.

Vista previa privada y acuerdo de confidencialidad: actualmente estamos poniendo en funcionamiento un programa de vista previa de las evaluaciones de seguridad de los servicios que se mencionan a continuación. Antes de realizar dichas evaluaciones, comuníquese con el departamento de Conformidad de AWS para completar un acuerdo de confidencialidad (NDA):

o Amazon Cloudfront

Servicios permitidos: puede realizar evaluaciones de seguridad de los recursos de AWS que posee si hace uso de los servicios que se enumeran a continuación. Estamos actualizando constantemente esta lista; haga clic aquí para dejarnos sus comentarios, o solicite que incluyamos más servicios:

o Instancias Amazon EC2, NAT Gateways y balanceadores de carga elásticos
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateways
o AWS Lambda y funciones Lambda de borde
o Recursos de Amazon Lightsail
o Entornos Amazon Elastic Beanstalk

Actividades prohibidas: las siguientes actividades están prohibidas en este momento:

o DNS Zone Walking a través de las zonas alojadas de Amazon Route 53
o Denegación de servicio (DoS), denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada
o Saturación de puertos
o Saturación de protocolos
o Saturación de solicitudes (de inicio de sesión o de API)

Informes de abuso: si AWS recibe un informe de abuso como consecuencia de las actividades relacionadas con sus pruebas de seguridad, se lo enviaremos. Debe responder a estos informes dentro de las 24 horas de la notificación. Al responder, informe la causa raíz de la actividad informada y detalle lo que ha hecho para evitar que el problema notificado se repita. Puede obtener aquí más información sobre el proceso de denuncia de abuso.

Responsabilidad del revendedor: los revendedores de los servicios de AWS son responsables de la actividad de pruebas de seguridad de sus clientes.

Todas las pruebas de seguridad deben estar alineadas con los Términos y condiciones de las pruebas de seguridad de AWS (ver más abajo).

Queremos que las pruebas de seguridad sean una experiencia positiva en la cual reúna de manera eficiente la evidencia objetiva que necesita, sin errores ni interrupciones. Los siguientes son algunos consejos útiles que probablemente mejorarán esa experiencia y también beneficiarán a su proveedor, a AWS y a otros clientes de AWS.

Límites de velocidad: para garantizar que las pruebas sean exitosas, limite su análisis a 1 Gbps o 10 000 RPS.

Tipos de instancias: recomendamos excluir los siguientes tipos de instancias EC2 de sus evaluaciones de seguridad para minimizar posibles interrupciones en su entorno

o T3.nano
o T2.nano
o T1.micro
o M1.small

Pruebas de direcciones IP: debido a la naturaleza dinámica de un entorno de nube, todas las direcciones IP deben verificarse antes del comienzo de una prueba para garantizar la propiedad actual de la dirección IP.

Comuníquese con aws-security-simulated-event@amazon.com si tiene alguna pregunta.

Pruebas de seguridad (las "Pruebas"):
(a) se limitarán a los servicios, el ancho de banda de la red, las solicitudes por minuto y el tipo de instancia que se describen en el sitio web de AWS: 

https://aws.amazon.com/security/penetration-testing/

(b) están sujetas a los términos del Acuerdo del cliente de Amazon Web Services celebrado entre usted y AWS (disponible en http://aws.amazon.com/agreement/) (el "Acuerdo") y

(c) cumplirán con la política de AWS en lo que respecta al uso de herramientas y servicios de evaluación de seguridad (que se incluye a continuación).

Cualquier detección de vulnerabilidades u otros problemas que resulten directamente de las herramientas o servicios de AWS se deben comunicar a aws-security@amazon.com dentro de las 24 horas posteriores a la finalización de la Prueba.

La política de AWS con respecto al uso de herramientas y servicios de evaluación de la seguridad permite tener una flexibilidad significativa para realizar evaluaciones de seguridad de sus recursos de AWS al tiempo que protege a otros clientes de AWS y garantiza la calidad del servicio en AWS.

AWS entiende que hay una variedad de herramientas y servicios públicos, privados, comerciales o de código abierto entre los que puede elegir a los efectos de realizar una evaluación de seguridad de sus recursos de AWS. El término "evaluación de seguridad" se refiere a toda la actividad realizada con el fin de determinar la eficacia o existencia de controles de seguridad entre sus recursos de AWS, por ejemplo, análisis de puertos, análisis o verificación de vulnerabilidades, pruebas de intrusión, sistema de gestión, análisis de aplicaciones web, así como cualquier actividad de inyección, falsificación o fuzzing, ya sea realizada de forma remota contra sus re de AWS, entre sus recursos de AWS, o localmente dentro de los propios recursos virtualizados.

NO está limitado en la selección que haga de herramientas o servicios para realizar una evaluación de seguridad de sus recursos de AWS. Sin embargo, ESTÁ PROHIBIDO utilizar cualquier herramienta o servicio para hacer ataques de denegación de servicio (DoS) o simulaciones de este tipo contra CUALQUIER recurso de AWS, ya sea de su propiedad o no. Las actividades prohibidas incluyen, pero no están limitadas a:


• Saturación de protocolos (por ejemplo, saturación SYN, saturación ICMP, saturación UDP)
o Saturación de solicitudes de recursos (p. ej., saturación de solicitudes HTTP, saturación de solicitudes de inicio de sesión o saturación de solicitudes de API)

Una herramienta de seguridad que únicamente realiza una consulta remota de su recurso de AWS para determinar el nombre y la versión de un software, como la "captura de nombres de aplicaciones", con el fin de compararlos con una lista de versiones que se sabe que son vulnerables a DoS, NO infringe esta política.

Además, una herramienta o servicio de seguridad que solo bloquea un proceso en ejecución en su recurso de AWS, temporal o no, según sea necesario para la explotación local o remota como parte de la evaluación de seguridad, NO infringe esta política. Sin embargo, esta herramienta NO puede participar en saturaciones de protocolos o de solicitudes de recursos, como se mencionó anteriormente.

Está expresamente prohibido el uso de una herramienta o servicio de seguridad que cree, determine la existencia o demuestre una condición de DoS de CUALQUIER otra manera, real o simulada.

Algunas herramientas o servicios incluyen capacidades de DoS reales según lo descrito, ya sean silenciosas o inherentes si se usan de forma inadecuada, o como una prueba o verificación explícita o característica de la herramienta o servicio. Cualquier herramienta o servicio de seguridad que tenga dicha capacidad de DoS, debe tener la habilidad explícita para DESACTIVAR, DESARMAR o, de lo contrario, dejar SIN EFECTO esa capacidad de DoS. De lo contrario, esa herramienta o servicio NO se puede emplear para NINGUNA faceta de la evaluación de seguridad.

Es responsabilidad exclusiva del cliente de AWS: (1) asegurarse de que las herramientas y los servicios empleados para realizar una evaluación de seguridad estén correctamente configurados y funcionen bien y de una manera que no realice ataques de DoS o simulaciones de estos, y (2) validar de forma independiente que la herramienta o el servicio empleado no realice ataques DoS, o simulaciones de estos, ANTES de la evaluación de seguridad de los recursos de AWS. Esta responsabilidad del cliente de AWS incluye garantizar que los terceros contratados realicen evaluaciones de seguridad de una manera que no infrinja esta política.

Además, usted es responsable de los daños que provoquen sus actividades de prueba o evaluación de seguridad a AWS o a otros clientes de AWS.

Solicitud de una prueba de intrusión

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días laborables para confirmarle que hemos recibido su solicitud.

Tras revisar la información enviada, la transferiremos a los equipos adecuados para su evaluación. Debido a la naturaleza de estas solicitudes, cada envío se revisa manualmente y la respuesta puede demorarse hasta 7 días. La decisión final puede tardar más, en función de si se requiere información adicional para completar la evaluación.

• Simulaciones de seguridad o días de juegos de seguridad

• Simulaciones compatibles o días de juegos compatibles

• Simulaciones de juegos de guerra

• Cartas blancas

• Pruebas de equipo rojo y equipo azul

• Simulaciones de recuperación de desastres

• Otros eventos simulados

Póngase en contacto con nosotros directamente a través de aws-security-simulated-event@amazon.com. Cuando comunique su evento, asegúrese de dar detalles sobre este, por ejemplo:

• Fechas

• Cuentas involucradas

• Recursos involucrados

• Información de contacto (incluido su número de teléfono)

• Descripción detallada de los eventos planeados

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días laborables para confirmarle que hemos recibido su solicitud.

Tras revisar la información enviada, la transferiremos a los equipos adecuados para su evaluación. Debido a la naturaleza de estas solicitudes, cada envío se revisa manualmente y la respuesta puede demorarse hasta 7 días. La decisión final puede tardar más, en función de si se requiere información adicional para completar la evaluación.

Cuando reciba nuestra autorización final, no necesitará hacer nada más. Podrá realizar las pruebas solicitadas hasta que finalice el periodo indicado.

Los clientes sin soporte Enterprise, pruebas de carga y simulación de DDoS cuentan con asistencia a través de los proveedores preaprobados que se indican a continuación. Vuelva a dirigir su solicitud según corresponda.

Los clientes con soporte Enterprise que buscan realizar las pruebas de forma independiente, deben enviar su solicitud de soporte Enterprise a través del Centro de soporte. Trabaje con su director técnico de cuentas (TAM) para coordinar las pruebas con al menos 2 semanas de anticipación.

Aprobación actual

Red Wolf Security para proveedores

NCC Group

AWS ProServ

 

Solicitar evento simulado

 

Contacte con nosotros