Réalisation de tests d'intrusion
Stratégie du support client AWS pour le test d'intrusion
Les clients d’AWS sont invités à effectuer des évaluations de sécurité ou des tests de pénétration de leur infrastructure AWS sans autorisation préalable pour les services énumérés dans la section suivante sous « Services autorisés ». De plus, AWS permet aux clients d'héberger leurs outils d'évaluation de la sécurité dans l'espace IP d'AWS ou d'un autre fournisseur de nuages pour des tests sur place, dans AWS ou par des tiers. Tous les tests de sécurité qui incluent le commandement et le contrôle (C2) nécessitent une approbation préalable.
Assurez-vous que ces activités sont conformes à la politique présentée ci-dessous. Remarque : les clients ne sont pas autorisés à effectuer des évaluations de sécurité de l'infrastructure AWS ou des services AWS eux-mêmes. Si vous découvrez un problème de sécurité dans l’un des services AWS observés lors de votre évaluation de sécurité, veuillez contacter la sécurité AWS immédiatement.
Si AWS reçoit un rapport abusif pour les activités liées à vos tests de sécurité, nous vous les transférons. Lorsque vous répondez, veuillez nous fournir un langage approuvé détaillant votre cas d'utilisation, y compris un point de contact que nous pouvons partager avec tout tiers rapporteur. Consultez cette page pour en savoir plus.
Les revendeurs de services AWS sont responsables de l’activité de test de sécurité de leurs clients.
Stratégie de service client pour le test d'intrusion
Services autorisés
- Instances Amazon EC2, WAF, passerelles NAT et équilibreurs de charge élastiques
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateways
- AWS AppSync
- Fonctions AWS Lambda et Lambda Edge
- Ressources Amazon Lightsail
- Environnements Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Amazon Transit Gateway
- Applications hébergées par S3 (il est strictement interdit de cibler les compartiments S3)
Les clients qui souhaitent tester des services non approuvés devront travailler directement avec leur équipe d’AWS Support ou le représentant de votre compte..
Activités interdites
- Inspection de zone DNS via des zones hébergées sur Amazon Route 53
- Détournement de DNS via la Route 53
- DNS Pharming via Route 53
- Déni de service (DoS), Déni de service distribué (DDoS), DoS simulé, DDoS simulé (ceux-ci sont soumis à la politique de test de simulation DDoS)
- Saturation des protocoles
- Saturation des requêtes (saturation des requêtes de connexion et d'API)
Autres événements simulés
Test de l'équipe rouge/bleue/violette
Les tests de l'équipe rouge/bleue/violette sont des simulations de sécurité contradictoires conçues pour tester la sensibilisation à la sécurité et les temps de réaction d'une organisation
Les clients souhaitant effectuer des simulations secrètes de sécurité adverses et/ou héberger des systèmes de commandement et de contrôle (C2) doivent soumettre un formulaire d'événements simulés pour examen.
Test de résistance du réseau
Le test de stress est un test de performance qui envoie un grand volume de trafic légitime ou de test à une application cible spécifique afin de garantir une capacité opérationnelle efficace. L'application de point de terminaison est censée remplir sa fonction prévue dans le cadre du test. Toute tentative de submerger la cible est considérée comme un déni de service (DoS).
Les clients souhaitant effectuer un test de résistance du réseau doivent passer en revue notre politique relative aux tests de résistance.
Test iPerf
iPerf est un outil de mesure et de réglage des performances du réseau. Il s'agit d'un outil multiplateforme qui peut produire des mesures de performance standardisées pour n'importe quel réseau.
Les clients souhaitant effectuer des tests iPerf doivent soumettre un formulaire d'événements simulés pour examen.
Test de simulation de DDoS
Les attaques par déni de service distribué (DDoS) surviennent lorsque des personnes malveillantes ont recours à une attaque par saturation de trafic provenant de sources multiples dans le but de tenter d'affecter la disponibilité d'une application ciblée. Le test de simulation de DDoS utilise une attaque DDoS contrôlée afin de permettre au propriétaire d'une application d'évaluer la résilience de l'application et de se préparer à réagir aux événements.
Les clients qui souhaitent effectuer un test de simulation DDoS doivent consulter notre politique de test de simulation DDoS.
Simulation de hameçonnage
Le simulation de hameçonnage est la simulation d'une tentative d'attaque d'ingénierie sociale visant à obtenir des informations sensibles de la part des utilisateurs. L'objectif est d'identifier les utilisateurs et de les sensibiliser à la différence entre les courriels valides et les courriels d'hameçonnage afin d'accroître la sécurité de l'organisation.
Les clients souhaitant réaliser des campagnes de simulation d'hameçonnage doivent soumettre un formulaire de simulation d'événements pour examen.
Test des logiciels malveillants
Le test des logiciels malveillants est la pratique consistant à soumettre des fichiers ou des programmes malveillants à des applications ou à des programmes antivirus afin d'améliorer les fonctions de sécurité.
Les clients souhaitant effectuer des tests de logiciels malveillants doivent soumettre un formulaire d'événements simulés pour examen.
Demande d'autorisation pour d'autres événements simulés
AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Veuillez soumettre un formulaire de simulation d'événements pour nous contacter directement. (Pour les clients opérant dans la région AWS Chine (Ningxia et Pékin), veuillez utiliser ce formulaire d'événements simulés.)
Veillez à inclure les dates, les identifiants de compte concernés, les actifs concernés et les informations de contact, y compris le numéro de téléphone et la description détaillée des événements prévus. Dans les 2 jours ouvrables suivant votre premier message, vous recevrez une réponse non automatisée confirmant la réception de votre demande.
Toutes les demandes d'événements simulés doivent être soumises à la PIC au moins deux (2) semaines avant la date de début.
Réalisation du test
Aucune autre action de votre part n'est requise après la réception de notre autorisation. Vous pouvez effectuer votre test pendant toute la période que vous avez indiquée.
Conditions générales
Tous les tests de sécurité doivent être conformes aux Conditions générales de test de sécurité AWS.
Les tests de sécurité :
- seront limités aux services, bande passante du réseau, requêtes par minute et type d’instance ;
- sont soumis aux conditions du contrat client Amazon Web Services conclu entre vous et AWS
- seront conformes à la politique AWS relative à l'utilisation des outils et services d'évaluation de la sécurité, incluse dans la section suivante.
Toute découverte de vulnérabilités ou d’autres problèmes étant le résultat direct des outils ou des services AWS doit être signalée à AWS Security dans les 24 heures après la réalisation du ou des tests.
Politique AWS relative aux outils et services d'évaluation de la sécurité
La politique AWS relative aux outils et services d’évaluation de la sécurité permet une grande flexibilité dans la réalisation d’évaluations de la sécurité de vos ressources AWS, tout en protégeant les autres clients AWS et en garantissant la qualité du service sur AWS.
AWS comprend qu’il existe une variété d’outils et de services publics, privés, commerciaux et/ou open source parmi lesquels choisir à des fins d’évaluation de la sécurité de vos ressources AWS. Les termes « évaluation de la sécurité » font référence à toutes les activités menées dans le but de déterminer l'efficacité ou l'existence de contrôles de sécurité au sein de vos ressources AWS, tels que l'analyse des ports, l'analyses ou les vérifications de vulnérabilité, les tests d'intrusion, l'exploitation, l'analyse des applications Web, ainsi que toute activité d'injection, de falsification ou de test à données aléatoires, réalisée à distance sur vos ressources AWS, au sein ou entre vos ressources AWS, ou localement dans les ressources virtualisées elles-mêmes.
Vous n’êtes PAS limité dans votre sélection d’outils ou de services pour réaliser une évaluation de la sécurité de vos ressources AWS. Toutefois, vous ne pouvez PAS utiliser d'outils ou de services de manière à réaliser des attaques ou des simulations de déni de service (DoS) contre N'IMPORTE QUELLE ressource AWS, qu'elles vous appartiennent ou non. Les clients qui souhaitent effectuer un test de simulation DDoS doivent consulter notre politique de test de simulation DDoS.
Un outil de sécurité qui n’effectue qu’une requête à distance de votre ressource AWS afin de découvrir le nom et la version d’un logiciel, comme « banner grabbing » à des fins de comparaison avec une liste de versions connues pour être vulnérables aux DoS, n’entre PAS en violation avec cette politique.
En outre, un service ou outil de sécurité qui plante uniquement un processus en cours d’exécution sur votre ressource AWS, temporaire ou non, selon les besoins pour une exploitation à distance ou locale dans le cadre de l’évaluation de la sécurité, n’entre PAS en violation avec cette politique. Toutefois, cet outil ne doit PAS générer de saturation des protocoles ou des requêtes de ressources, tel que mentionné ci-dessus.
Un outil ou service de sécurité qui crée ou démontre une situation de DoS, ou en détermine l'existence DE QUELQUE AUTRE FAÇON QUE CE SOIT, réelle ou simulée, est strictement interdit.
Certains outils ou services incluent des capacités de DoS telles que décrites, de manière silencieuse ou inhérente, s’ils sont utilisés de manière inappropriée ou en tant que test ou vérification explicite, ou fonctionnalité de l’outil ou du service. Tout outil ou service de sécurité disposant d'une telle capacité de DoS doit avoir la capacité explicite de DÉSACTIVER, DÉSARMER ou rendre INOFFENSIF cette capacité de DoS. Dans le cas contraire, cet outil ou service ne doit PAS être utilisé pour AUCUNE étape de l'évaluation de la sécurité.
Le client AWS porte l’entière responsabilité de : (1) s’assurer que les outils et services utilisés pour la réalisation d’une évaluation de la sécurité sont correctement configurés et fonctionnent correctement, de manière à ne pas effectuer d’attaques ou de simulations de DoS, et (2) attester de manière indépendante que l’outil ou le service utilisé ne réalise aucune attaque ou simulation de DoS de ce type, AVANT de réaliser l’évaluation de la sécurité de n’importe quelle ressource AWS. La responsabilité dudit client AWS implique notamment de veiller à ce que des tierces parties sous contrat réalisent des évaluations de la sécurité en respectant les termes de cette politique.
En outre, vous êtes responsable de tout dommage causé à AWS ou à d’autres clients d’AWS par vos activités de test ou d’évaluation de la sécurité.