Pruebas de intrusión

Pruebe el entorno de AWS contra los estándares de seguridad definidos

Política de soporte para el cliente de AWS para pruebas de intrusión

Los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de intrusión en su infraestructura de AWS sin aprobación previa de 8 servicios, enumerados en la siguiente sección bajo “Servicios permitidos”.

Asegúrese de que estas actividades estén alineadas con la política que se establece a continuación. Nota: No se permite que los clientes realicen por sí solos evaluaciones de seguridad de la infraestructura de AWS o de los servicios de AWS. Si detecta un problema dentro de cualquier servicio de AWS en el transcurso de la evaluación de seguridad, comuníquese con Seguridad de AWS de inmediato.

Si AWS recibe un informe de abuso por actividades relacionadas con sus pruebas de seguridad, se lo enviaremos. Al responder, informe la causa raíz de la actividad informada y detalle lo que ha hecho para evitar que el problema notificado se repita. Obtenga más información aquí.

Los revendedores de los servicios de AWS son responsables de las actividades de prueba de seguridad de sus clientes.

Política de servicio al cliente para pruebas de intrusión

Servicios permitidos

  • Instancias de Amazon EC2, NAT Gateways y balanceadores de carga elásticos
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • AWS Lambda y funciones de Lambda Edge
  • Recursos de Amazon Lightsail
  • Entornos de Amazon Elastic Beanstalk

Actividades prohibidas

  • DNS Zone Walking a través de las zonas alojadas de Amazon Route 53
  • Denegación de servicio (DoS), denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada
  • Saturación de puertos
  • Saturación de protocolos
  • Saturación de solicitudes (de inicio de sesión o de API)

Otros eventos simulados

Solicitud de autorización para otros eventos simulados

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Póngase en contacto con nosotros directamente a través de aws-security-simulated-event@amazon.com. Asegúrese de incluir fechas, cuentas involucradas, activos involucrados e información de contacto, incluido número telefónico y descripción detallada de los eventos planificados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días laborables para confirmarle que hemos recibido su solicitud.

Tras revisar la información enviada, la transferiremos a los equipos adecuados para su evaluación. Debido a la naturaleza de estas solicitudes, cada envío se revisa manualmente y la respuesta puede demorarse hasta 7 días. La decisión final puede tardar más, en función de si se requiere información adicional para completar la evaluación.

Conclusión de las pruebas

Cuando reciba nuestra autorización final, no necesitará hacer nada más. Podrá realizar las pruebas solicitadas hasta que finalice el periodo indicado. 

Pruebas de estrés de red

Los clientes que deseen realizar una prueba de estrés de red deben revisar nuestra Política de pruebas de estrés. Los clientes que deseen realizar una simulación de DDoS cuentan con asistencia de los proveedores preaprobados que se indican a continuación. Dirija su solicitud a quién corresponda.

Términos y condiciones

Todas las pruebas de seguridad deben estar alineadas con los Términos y condiciones de las pruebas de seguridad de AWS.

Pruebas de seguridad:

  • se limitarán a los servicios, el ancho de banda de la red, las solicitudes por minuto y el tipo de instancia
  • está sujeto al Contrato de cliente de Amazon Web Services entre usted y AWS
  • cumplirán con la política de AWS en lo que respecta al uso de herramientas y servicios de evaluación de seguridad

Cualquier detección de vulnerabilidades u otros problemas que resulten directamente de las herramientas o servicios de AWS se deben comunicar a Seguridad de AWS dentro de las 24 horas posteriores a la finalización de la prueba.

Política de AWS sobre el uso de herramientas y servicios de evaluación de seguridad

La política de AWS con respecto al uso de herramientas y servicios de evaluación de la seguridad permite tener una flexibilidad significativa para realizar evaluaciones de seguridad de sus recursos de AWS al tiempo que protege a otros clientes de AWS y garantiza la calidad del servicio en AWS.

AWS entiende que hay una variedad de herramientas y servicios públicos, privados, comerciales o de código abierto entre los que puede elegir a los efectos de realizar una evaluación de seguridad de sus recursos de AWS. El término "evaluación de seguridad" se refiere a toda la actividad realizada con el fin de determinar la eficacia o existencia de controles de seguridad entre sus recursos de AWS, por ejemplo, análisis de puertos, análisis o verificación de vulnerabilidades, pruebas de intrusión, sistema de gestión, análisis de aplicaciones web, así como cualquier actividad de inyección, falsificación o fuzzing, ya sea realizada de forma remota contra sus re de AWS, entre sus recursos de AWS, o localmente dentro de los propios recursos virtualizados.

NO está limitado en la selección que haga de herramientas o servicios para realizar una evaluación de seguridad de sus recursos de AWS. Sin embargo, ESTÁ PROHIBIDO utilizar cualquier herramienta o servicio para hacer ataques de denegación de servicio (DoS) o simulaciones de este tipo contra CUALQUIER recurso de AWS, ya sea de su propiedad o no. Las actividades prohibidas incluyen, pero no están limitadas a las siguientes opciones:

  • Saturación de protocolos (p. ej., SYN, ICMP, UDP)
  • Saturación de solicitudes de recursos (p. ej., HTTP, inicio de sesión o API)

Una herramienta de seguridad que solo realiza una consulta remota de su recurso de AWS para determinar el nombre y la versión de un software, como la “captura de nombres de aplicaciones”, con el fin de compararlos con una lista de versiones que se sabe que son vulnerables a DoS, NO infringe esta política.

Además, una herramienta o servicio de seguridad que solo bloquea un proceso en ejecución en su recurso de AWS, temporal o no, según sea necesario para la explotación local o remota como parte de la evaluación de seguridad, NO infringe esta política. Sin embargo, esta herramienta NO puede participar en saturaciones de protocolos o de solicitudes de recursos, como se mencionó anteriormente.
Está expresamente prohibido el uso de una herramienta o servicio de seguridad que cree, determine la existencia o demuestre una condición de DoS de CUALQUIER otra manera, real o simulada.

Algunas herramientas o servicios incluyen capacidades de DoS reales según lo descrito, ya sean silenciosas o inherentes si se usan de forma inadecuada, o como una prueba o verificación explícita o característica de la herramienta o servicio. Cualquier herramienta o servicio de seguridad que tenga dicha capacidad de DoS, debe tener la habilidad explícita para DESACTIVAR, DESARMAR o, de lo contrario, dejar SIN EFECTO esa capacidad de DoS. De lo contrario, esa herramienta o servicio NO se puede emplear para NINGUNA faceta de la evaluación de seguridad.

Es responsabilidad exclusiva del cliente de AWS: (1) asegurarse de que las herramientas y los servicios empleados para realizar una evaluación de seguridad estén correctamente configurados y funcionen bien y de una manera que no realice ataques de DoS o simulaciones de estos, y (2) validar de forma independiente que la herramienta o el servicio empleado no realice ataques DoS, o simulaciones de estos, ANTES de la evaluación de seguridad de los recursos de AWS. Esta responsabilidad del cliente de AWS incluye garantizar que los terceros contratados realicen evaluaciones de seguridad de una manera que no infrinja esta política.

Además, usted es responsable de los daños que provoquen sus actividades de prueba o evaluación de seguridad a AWS o a otros clientes de AWS.

Póngase en contacto con un representante empresarial de AWS
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Busca trabajo en el área de seguridad?
Inscríbase hoy mismo »
¿Desea recibir novedades sobre temas de seguridad en AWS?
Síganos en Twitter »