Richiedi autorizzazione a test di intrusione
Test di intrusione

I nostri Criteri di utilizzo descrivono i comportamenti consentiti e non consentiti in AWS e includono la descrizione di violazioni alla sicurezza e usi illeciti. Tuttavia, poiché spesso è difficile distinguere tra test di intrusione o altri eventi simulati e tali violazioni, abbiamo disposto una policy secondo la quale per condurre test di intrusione e scansioni delle vulnerabilità da e verso l'ambiente AWS sarà necessario richiedere un'autorizzazione.


Compila e invia l'apposito modulo di richiesta per richiedere l'autorizzazione ad eseguire test di intrusione e di vulnerabilità da e verso qualsiasi risorsa AWS. È importante ricordare alcune informazioni in relazione alle richieste di test di intrusione:

  • È necessario richiedere l'autorizzazione per qualsiasi test di intrusione.
  • Per richiedere l'autorizzazione, è necessario aver eseguito l'accesso al portale AWS utilizzando le credenziali root associate alle istanze su cui eseguire il testing; in caso contrario il modulo non sarà precompilato in modo corretto. Se il testing viene condotto da una terza parte assunta appositamente, è necessario compilare e inviare il modulo e avvisare la terza parte quando AWS concede l'autorizzazione. AWS non concederà alcuna autorizzazione direttamente a terzi.
  • Le nostre policy consentono esclusivamente il testing delle seguenti risorse:

    • EC2
    • RDS
    • Aurora
    • CloudFront
    • API Gateway
    • Lambda
    • Lightsail
    • DNS Zone Walking
  • Al momento, la policy di AWS non consente il testing di istanze RDS di tipo small o micro. Il testing di istanze di tipo m1.small, t1.micro o t2 nano di EC2 non è perciò consentito. Questo provvedimento è stato preso per evitare di compromettere le prestazioni di risorse che potrebbero essere condivise con altri clienti.

Nel modulo è necessario specificare quali istanze si desidera testare e scegliere la data e l'ora previste per l'inizio del test; inoltre è obbligatorio leggere e accettare termini e condizioni specifici per i test di intrusione, nonché utilizzare strumenti adatti per il testing. Nota: la data di fine del testing non può essere oltre i 90 giorni dalla data di inizio.

Le informazioni condivise con AWS durante questo processo vengono ritenute riservate da AWS. Non saranno perciò condivise con terze parti senza il tuo consenso.

L'esame della richiesta da parte di AWS può richiedere fino a due giorni lavorativi. Se la richiesta viene approvata, sarà inviato un numero di autorizzazione. In caso di domande, richiederemo ulteriori spiegazioni. Tali richieste potranno ritardare la conclusione di questa procedura, perciò è importante pianificare gli eventi in anticipo, includendo più dettagli possibili nella richiesta iniziale.

In caso di domande sul processo di approvazione dei test di intrusione e di vulnerabilità, contattaci all'indirizzo e-mail aws-security-cust-pen-test@amazon.com.

Richiesta test di intrusione

• Simulazioni di sicurezza e gameday di sicurezza

• Simulazioni di supporto e gameday di supporto

• Simulazioni di giochi di guerra

• White card

• Test di tipo red team vs blue team

• Simulazioni di disaster recovery

• Simulazione di altri eventi

Scrivici direttamente all'indirizzo aws-security-simulated-event@amazon.com. Ricorda di includere sempre più dettagli possibili sulla simulazione, tra cui:

• Date

• Account coinvolti

• Asset coinvolti

• Informazioni di contatto, incluso il numero di telefono

• Descrizione dettagliata degli eventi in programma

AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento della richiesta. In genere viene inviata una risposta non automatica entro 2 giorni lavorativi dal contatto iniziale, che confermerà la ricezione della richiesta.

Dopo aver esaminato le informazioni allegate alla richiesta, questa sarà inoltrata al team competente per la verifica. Considerato il genere di queste richieste, ogni messaggio verrà esaminato manualmente, perciò verrà inviata una risposta entro 7 giorni. La decisione definitiva potrà richiedere più tempo, a seconda della completezza delle informazioni inoltrate.

Dopo aver ricevuto un'autorizzazione, non è più necessaria alcuna azione da parte tua. Potrai quindi avviare il testing per tutto il periodo dichiarato.

Richiesta simulazione di eventi

 

Contattaci