Solicitar autorización para prueba de intrusión
Pruebas de intrusión

Nuestra política de uso aceptable describe los comportamientos permitidos y prohibidos en AWS, e incluye las descripciones de las violaciones de seguridad y el abuso de las redes. No obstante, puesto que muchas veces las pruebas de intrusión y otros eventos simulados no pueden distinguirse de dichas actividades, hemos establecido una política para que los clientes soliciten permiso antes de realizar pruebas de intrusión o análisis de vulnerabilidad cuyo origen o destino sea el entorno de AWS.


Si desea solicitar autorización para llevar a cabo una prueba de intrusión cuyo origen o destino sea un recurso de AWS, rellene y envíe el Formulario de solicitud de pruebas de intrusión/vulnerabilidad de AWS. Hay varios aspectos importantes que cabe tener en cuenta en relación con las solicitudes de pruebas de intrusión:

  • Se exige permiso para todas las pruebas de intrusión.
  • Para solicitar permiso, debe haber iniciado sesión en el portal de AWS con las credenciales raíz asociadas a las instancias que desea probar. De lo contrario, el formulario no se completará con los datos correctos. Si contrató los servicios de un proveedor para llevar a cabo la prueba, debe completar el formulario y, a continuación, informe a su proveedor cuando concedamos la aprobación. AWS no concederá aprobaciones a compañías externas que ejecuten pruebas.
  • Nuestra política solo permite pruebas de los siguientes recursos:

    • EC2
    • RDS
    • Aurora
    • CloudFront
    • API Gateway
    • Lambda
    • Lightsail
    • DNS Zone Walking
  • Actualmente, nuestra política no permite realizar pruebas de tipos de instancias pequeñas o microinstancias de RDS. No está permitido realizar pruebas en los tipos de instancias de EC2 m1.small, t1.micro o t2.nano. De este modo, se evitan posibles efectos adversos en el desempeño de los recursos que tenga compartidos con otros clientes.

El formulario requiere que facilite información acerca de las instancias que desea probar, las fechas de inicio y fin previstas para la prueba y que lea los términos y condiciones específicos para las pruebas de intrusión y el uso de herramientas apropiadas para las pruebas. Tenga en cuenta que la fecha de finalización puede no superar los 90 días a partir de la fecha de inicio.

La información que comparta con AWS como parte de este proceso es confidencial dentro de AWS. No se comparte con terceras partes sin su permiso.

Responderemos a su solicitud una vez que haya sido revisada, lo cual puede llevar hasta dos días laborables. Si se aprueba su solicitud, recibirá un número de autorización. Si tenemos alguna duda, le pediremos las aclaraciones oportunas. Tenga en cuenta que las solicitudes para obtener más información pueden retrasar el proceso. Por ello, rogamos que su solicitud inicial sea lo más detallada posible.

Si tiene preguntas acerca del proceso de aprobación de pruebas de intrusión y vulnerabilidad, envíenos un e-mail a aws-security-cust-pen-test@amazon.com

Solicitud de una prueba de intrusión

• Simulaciones de seguridad o días de juego de seguridad

• Simulaciones compatibles o días de juego compatibles

• Simulaciones de juegos de guerra

• Cartas blancas

• Pruebas de equipo rojo y equipo azul

• Simulaciones de recuperación de desastres

• Otros eventos simulados

Póngase en contacto con nosotros directamente a través de aws-security-simulated-event@amazon.com. Cuando comunique su evento, asegúrese de dar detalles sobre el mismo, por ejemplo:

• Fechas

• Cuentas involucradas

• Recursos involucrados

• Información de contacto (incluido su número de teléfono)

• Descripción detallada de los eventos planeados

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días laborables para confirmarle que hemos recibido su solicitud.

Tras revisar la información enviada en su solicitud, la transferiremos a los equipos adecuados para su evaluación. Debido a la naturaleza de estas solicitudes, cada envío se revisa manualmente y la respuesta puede demorarse hasta 7 días. La decisión final puede tardar más, en función de si se requiere información adicional para completar la evaluación.

Cuando reciba nuestra autorización final, no necesitará hacer nada más. Podrá realizar las pruebas solicitadas hasta que finalice el periodo indicado.

Solicitar evento simulado

 

Contacte con nosotros