À compter d'aujourd'hui, les clients AWS ont la possibilité de réaliser des évaluations de la sécurité ou des tests d'intrusion de leur infrastructure AWS, sans approbation préalable pour 8 services.

Assurez-vous que ces activités sont conformes à la stratégie présentée ci-dessous. Remarque : les clients ne sont pas autorisés à réaliser eux-mêmes des évaluations de la sécurité de l'infrastructure AWS ou des services AWS eux-mêmes. Si vous rencontrez un problème de sécurité avec l'un des services AWS pendant votre évaluation de la sécurité, contactez l'équipe de la sécurité AWS immédiatement.

Version préliminaire privée et NDA : nous mettons actuellement en œuvre un programme préliminaire pour les évaluations de la sécurité des services ci-dessous. Avant d'effectuer ces évaluations, contactez pen-test-nda@amazon.com pour réaliser un NDA :

  • Amazon CloudFront

Services autorisés : vous avez la possibilité d'effectuer des évaluations de la sécurité par rapport à des ressources AWS dont vous êtes le propriétaire, si celles-ci utilisent les services répertoriés ci-dessous. Nous mettons cette liste à jour en continu. Cliquez ici pour nous faire part de votre avis ou demander l'intégration d'autres services :

  • Instances Amazon EC2, passerelles NAT et programmes Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • Fonctions AWS Lambda et Lambda Edge
  • Ressources Amazon Lightsail
  • Environnements Amazon Elastic Beanstalk

Activités interdites : les activités suivantes sont interdites pour le moment :

  • Inspection de zone DNS via des zones hébergées sur Amazon Route 53
  • Déni de service (DoS), résilience de déni de service distribué (DDoS), DoS simulé, DDoS simulé
  • Saturation des ports
  • Saturation des protocoles
  • Saturation des requêtes (saturation des requêtes de connexion et d'API)

Rapports abusifs : si AWS reçoit un rapport abusif pour les activités liées à vos tests de sécurité, nous vous les transférons. Vous devez répondre à ces rapports dans les 24 heures suivant la notification. Lorsque vous y répondez, indiquez la cause première de l'activité faisant l'objet du rapport, et détaillez les mesures que vous avez prises pour éviter que ce problème ne se reproduise. Pour en savoir plus sur le processus des rapports abusifs, consultez cette page.

Responsabilité du revendeur – Les revendeurs de services AWS sont tenus responsables des activités liées aux tests de sécurité de leurs clients.

Tous les tests de sécurité doivent être conformes aux Conditions générales de test de sécurité AWS (voir ci-dessous).

Nous tenons à ce que vos tests de sécurité soient une expérience positive qui regroupe de manière effective les preuves objectives dont vous avez besoin, sans erreur ni interruption. Les informations suivantes sont des conseils utiles qui, lorsqu'ils sont suivis, pourraient sensiblement améliorer cette expérience. Ils sont également appréciés de votre fournisseur, d'AWS et des autres clients AWS.

Limites de débit : afin de garantir le succès de vos tests, limitez votre analyse à 1 Gbit/s ou 10 000 requêtes par seconde.

Types d'instance : nous vous recommandons d'exclure les types d'instance EC2 suivants de vos évaluations de sécurité afin de réduire autant que possible toute interruption d'activité potentielle dans votre environnement

  • T3.nano
  • T2.nano
  • T1.micro
  • M1.small

Tests des adresses IP : en raison de la nature dynamique des environnements cloud, toutes les adresses IP doivent être vérifiées avant de démarrer un test afin de vous assurer de la propriété actuelle de l'adresse IP.

Contactez-nous à l'adresse aws-security-simulated-event@amazon.com en cas de questions.

Les tests de sécurité (le ou les « tests ») :
(a) seront limités aux services, bande passante réseau, requêtes par minute type d'instance décrits sur le site Web AWS : 

https://aws.amazon.com/security/penetration-testing/ ;

(b) sont soumis aux conditions du contrat client Amazon Web Services conclu entre vous et AWS (disponible à l'adresse http://aws.amazon.com/agreement/) (le « Contrat ») ;

(c) seront conformes à la politique AWS relative à l'utilisation des outils et services d'évaluation de la sécurité (décrits ci-dessous).

Toute découverte de vulnérabilités ou d'autres problèmes étant le résultat direct des outils ou des services AWS doit être signalée à l'adresse aws-security@amazon.com dans les 24 heures après la réalisation du ou des tests.

La politique AWS relative à l'utilisation des outils et services d'évaluation de la sécurité permet une grande flexibilité dans la réalisation d'évaluations de la sécurité de vos ressources AWS, tout en protégeant les autres clients AWS et en garantissant la qualité du service sur AWS.

AWS comprend qu'il existe une variété d'outils et de services publics, privés, commerciaux et/ou open source parmi lesquels choisir à des fins d'évaluation de la sécurité de vos ressources AWS. Les termes « évaluation de la sécurité » font référence à toutes les activités menées dans le but de déterminer l'efficacité ou l'existence de contrôles de sécurité au sein de vos ressources AWS, tels que l'analyse des ports, l'analyses ou les vérifications de vulnérabilité, les tests d'intrusion, l'exploitation, l'analyse des applications Web, ainsi que toute activité d'injection, de falsification ou de test à données aléatoires, réalisée à distance sur vos ressources AWS, au sein ou entre vos ressources AWS, ou localement dans les ressources virtualisées elles-mêmes.

Vous n'êtes PAS limité dans votre sélection d'outils ou de services pour réaliser une évaluation de la sécurité de vos ressources AWS. Toutefois, vous ne pouvez PAS utiliser d'outils ou de services de manière à réaliser des attaques ou des simulations de déni de service (DoS) contre N'IMPORTE QUELLE ressource AWS, qu'elles vous appartiennent ou non. Les activités interdites incluent les activités suivantes, sans s'y limiter :

  • Saturation des protocoles (par ex., saturation de SYN, ICMP ou UDP)
  • Saturation des demandes de ressources (par ex., saturation des demandes HTTP, de connexion et d'API)

Un outil de sécurité qui effectue uniquement une demande à distance de votre ressource AWS afin de découvrir le nom et la version d'un logiciel, comme « banner grabbing » à des fins de comparaison avec une liste de versions connues pour être vulnérables aux DoS, n'entre PAS en violation avec cette stratégique.

En outre, un service ou outil de sécurité qui provoque uniquement le crash d'un processus en cours d'exécution sur votre ressource AWS, temporaire ou non, selon les besoins pour une exploitation à distance ou locale dans le cadre de l'évaluation de la sécurité, n'entre PAS en violation avec cette politique. Toutefois, cet outil ne doit PAS générer de saturation des protocoles ou des requêtes de ressources, tel que mentionné ci-dessus.

Un outil ou service de sécurité qui crée ou démontre une situation de DoS, ou en détermine l'existence DE QUELQUE AUTRE FAÇON QUE CE SOIT, réelle ou simulée, est strictement interdit.

Certains outils ou services incluent des capacités de DoS telles que décrites, de manière silencieuse ou inhérente, s'ils sont utilisés de manière inappropriée ou en tant que test ou vérification explicite, ou fonctionnalité de l'outil ou du service. Tout outil ou service de sécurité disposant d'une telle capacité de DoS doit avoir la capacité explicite de DÉSACTIVER, DÉSARMER ou rendre INOFFENSIF cette capacité de DoS. Dans le cas contraire, cet outil ou service ne doit PAS être utilisé pour AUCUNE étape de l'évaluation de la sécurité.

Le client AWS porte l'entière responsabilité de : (1) s'assurer que les outils et services utilisés pour la réalisation d'une évaluation de la sécurité sont correctement configurés et fonctionnent correctement, de manière à ne pas effectuer d'attaques ou de simulations de DoS, et (2) attester de manière indépendante que l'outil ou le service utilisé ne réalise aucune attaque ou simulation de DoS de ce type, AVANT de réaliser l'évaluation de la sécurité de n'importe quelle ressource AWS. La responsabilité dudit client AWS implique notamment de veiller à ce que des tierces parties sous contrat réalisent des évaluations de la sécurité en respectant les termes de cette politique.

De plus, vous êtes tenu pour seul responsable de tout dommage subi par AWS ou d'autres clients AWS généré par vos activités de test ou d'évaluation de la sécurité.



AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Dans les 2 jours ouvrables suivant votre premier message, vous recevrez une réponse non automatisée confirmant la réception de votre demande.

Après examen des informations fournies, nous transmettrons votre demande aux équipes concernées afin qu'elles l'étudient. La nature particulière de ces demandes nous impose de les traiter au cas par cas et de façon non automatisée ; par conséquent, il faut parfois compter jusqu'à 7 jours pour que nous vous fournissions une réponse. La décision finale est parfois plus longue, en particulier si nous avons besoin de demander des informations complémentaires pour mener à bien notre évaluation.

  • Simulations de sécurité ou journées ludiques autour de la sécurité
  • Simulations de support ou journées ludiques autour du support
  • Simulations de jeux de guerre
  • Cartes blanches
  • Tests équipe bleue contre équipe rouge
  • Simulations de reprise après sinistre
  • Autres événements simulés

Envoyez-nous directement un e-mail à l'adresse aws-security-simulated-event@amazon.com. Lorsque vous nous informez de votre événement, veuillez fournir la description détaillée de ce dernier, en incluant notamment les informations suivantes :

  • Dates
  • Comptes concernés
  • Ressources concernées
  • Coordonnées de l'organisateur, dont numéro de téléphone
  • Description détaillée des événements prévus

AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Dans les 2 jours ouvrables suivant votre premier message, vous recevrez une réponse non automatisée confirmant la réception de votre demande.

Après examen des informations fournies, nous transmettrons votre demande aux équipes concernées afin qu'elles l'étudient. La nature particulière de ces demandes nous impose de les traiter au cas par cas et de façon non automatisée ; par conséquent, il faut parfois compter jusqu'à 7 jours pour que nous vous fournissions une réponse. La décision finale est parfois plus longue, en particulier si nous avons besoin de demander des informations complémentaires pour mener à bien notre évaluation.

Aucune autre action de votre part n'est requise après la réception de notre autorisation. Vous pouvez effectuer votre test pendant toute la période que vous avez indiquée.

Les clients souhaitant effectuer un test de résistance du réseau doivent passer en revue notre politique relative aux tests de résistance.  

Les clients souhaitant effectuer une simulation de DDoS sont pris en charge via les fournisseurs pré-approuvés décrits ci-dessous. Veuillez rediriger votre demande en conséquence.

Actuellement approuvé(e)

Fournisseurs Red Wolf Security

NCC Group

AWS ProServ

 

 

Contactez-nous