Con effetto immediato, i clienti AWS possono eseguire valutazioni della sicurezza o test di intrusione sulla propria infrastruttura AWS senza previa approvazione per 8 servizi.

Occorre accertarsi che tali attività siano conformi alla policy sotto riportata. Nota: ai clienti non è consentito condurre personalmente valutazioni della sicurezza dell’infrastruttura AWS o servizi AWS. In caso di riscontro di un problema di sicurezza nell’ambito di un servizio AWS in occasione della valutazione di sicurezza, contattare AWS Security immediatamente.

Anteprima e NDA privati – Al momento mettiamo a disposizione un programma di anteprima per le valutazioni di sicurezza dei servizi riportati sotto. Prima di condurre tali valutazioni, contattare pen-test-nda@amazon.com per completare un NDA:

o Amazon CloudFront

Servizi consentiti – È consentito condurre valutazioni di sicurezza sulle risorse AWS di proprietà se utilizzano i servizi elencati sotto. L’elenco viene aggiornato continuamente; fai clic qui per inviarci feedback o richiedere l’inclusione di ulteriori servizi:

o Istanze Amazon EC2, gateway NAT ed Elastic Load Balancer
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateway
o Funzioni AWS Lambda e Lambda Edge
o Risorse Amazon Lightsail
o Ambienti Amazon Elastic Beanstalk

Attività vietate – Al momento sono vietate le seguenti attività.

o DNS Zone Walking attraverso zone in hosting su Amazon Route 53
o Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS simulato, DDoS simulato
o Flooding di porte
o Flooding di protocolli
o Flooding di richieste (flooding di richieste di accesso, flooding di richieste API)

Segnalazioni di illeciti – Se AWS riceve una segnalazione di illecito per attività relative ai tuoi test di sicurezza, te la inoltriamo. Devi rispondere a queste segnalazioni entro 24 ore dalla notifica. Nella risposta, indica la causa originale dell’attività segnalata e spiega in dettaglio ciò che hai fatto per evitare che il problema segnalato si ripeta. Per sapere di più in merito al processo di segnalazione di illeciti, visita questa pagina.

Responsibilità del rivenditore - I rivenditori di servizi AWS sono responsabili delle attività di test di sicurezza dei loro clienti.

Tutti i test di sicurezza devono essere conformi ai termini e condizioni dei test di sicurezza AWS (vedere nel seguito).

Desideriamo che i test di sicurezza siano un’esperienza positiva, che raccoglie in modo efficiente le prove oggettive necessarie, senza errori o interruzioni. Seguono alcuni suggerimenti utili che, se osservati, probabilmente migliorano l’esperienza si cui sopra oltre a essere apprezzati dal provider, AWS, e dagli altri clienti AWS.

Limiti di velocità – Per assicurare la riuscita dei test, limita la velocità di scansione a 1Gbps o 10,000 RPS.

Tipi di istanze – Raccomandiamo l’esclusione dei seguenti tipi di istanze EC2 dalle valutazioni di sicurezza per ridurre al minimo potenziali problemi per l’ambiente valutato

o T3.nano
o T2.nano
o T1.micro
o M1.small

Test di indirizzi IP – A causa della natura dinamica degli ambienti cloud, tutti gli indirizzi IP devono essere verificati prima dell’inizio di un test per assicurare la proprietà corrente dell’indirizzo IP.

Contatta aws-security-simulated-event@amazon.com per eventuali domande.

Test di sicurezza (i "test")
(a) Devono essere limitati ai servizi, alla larghezza di banda di rete, alle richieste al minuto e al tipo di istanza riportati nel sito web AWS: 

https://aws.amazon.com/security/penetration-testing/

(b) Sono soggetti ai termini del Contratto cliente Amazon Web Services stipulato tra te e AWS (disponibile all’indirizzo http://aws.amazon.com/agreement/) (il "Contratto").

(c) Devono essere conformi alla policy di AWS riguardante l’utilizzo di strumenti e servizi di valutazione della sicurezza (riportata nel seguito).

Gli eventuali riscontri di vulnerabilità o di altri problemi direttamente risultanti dagli strumenti o servizi di AWS devono essere inoltrati ad aws-security@amazon.com entro 24 ore dal completamento del test.

La policy di AWS riguardante l’utilizzo di strumenti e servizi di valutazione della sicurezza consente una notevole flessibilità per l’esecuzione di valutazioni della sicurezza degli asset AWS proteggendo al contempo gli altri clienti AWS e assicurando la qualità del servizio in AWS in generale.

AWS è consapevole dell’esistenza di una varietà di strumenti e servizi pubblici, privati, commerciali e/o open source tra cui scegliere al fine di eseguire una valutazione della sicurezza degli asset AWS. Il termine “valutazione della sicurezza” si riferisce a tutte le attività intraprese allo scopo di determinare l’efficacia o l’esistenza di controlli di sicurezza tra gli asset AWS, ad esempio scansione delle porte, scansione/verifiche delle vulnerabilità, test di intrusione, sfruttamento, scansione di applicazioni web, nonché attività di injection, frode o fuzzing, eseguite da remoto contro gli asset AWS, o tra gli asset AWS, oppure all’interno degli asset virtualizzati stessi.

NON esistono limiti nella selezione di strumenti o servizi per eseguire una valutazione di sicurezza dei propri asset AWS. Tuttavia, SUSSISTE il divieto di utilizzare strumenti o servizi in modo tale da eseguire attacchi o simulazioni di tipo Denial-of-Service (DoS) su QUALUNQUE asset AWS, di proprietà o meno. Le attività vietate includono le seguenti (l’elenco non è esaustivo).


• Flooding di protocolli (ad esempio SYN flooding, ICMP flooding, UDP flooding)
• Flooding di richieste di risorse (ad esempio flooding di richieste HTTP, flooding di richieste di accesso, flooding di richieste API)

Uno strumento di sicurezza che si limiti a eseguire una query remota degli asset AWS al fine di determinare un nome e una versione software, come ad esempio "banner grabbing“, al fine di eseguire un confronto con un elenco di versioni notoriamente vulnerabili a DoS NON costituisce una violazione di questa policy.

Inoltre, uno strumento o servizio di sicurezza che si limiti ad arrestare improvvisamente un processo in esecuzione sugli asset AWS di proprietà, in modo temporaneo o meno, ove necessario per lo sfruttamento remoto o locale nell’ambito della valutazione di sicurezza, NON costituisce una violazione di questa policy. Tuttavia, tale strumento NON deve intraprendere flooding di protocolli o flooding di richieste come sopra menzionato.

Sono espressamente vietati strumenti o servizi di sicurezza che creino, determinino l’esistenza o dimostrino una condizione DoS in QUALUNQUE altro modo, effettivo o simulato.

Alcuni strumenti e servizi includono effettive capacità DoS come descritto, in modo silente/implicito se utilizzati in modo inappropriato oppure come test esplicito/verifica o funzionalità dello strumento o servizio. Tutti gli strumenti o servizi che dispongono di questa capacità DoS devono avere la capacità esplicita di DISABILITARE, DISATTIVARE o rendere altrimenti INNOCUA tale capacità DoS. In caso contrario, lo strumento o servizio NON può essere impiegato per alcun aspetto della valutazione di sicurezza.

È esclusiva responsabilità del cliente AWS: (1) assicurare che gli strumenti e servizi impiegati per eseguire una valutazione di sicurezza siano correttamente configurati e funzionanti in modo da non eseguire attacchi o simulazioni DoS né loro simulazioni; (2) confermare in modo indipendente che lo strumento o servizio utilizzato non esegua attacchi o simulazioni DoS PRIMA della valutazione di sicurezza di asset AWS. Questa responsabilità del cliente AWS include la garanzia che i terzi appaltatori eseguano le valutazioni di sicurezza in modo da non violare la presente policy.

Inoltre, il cliente è responsabile di eventuali danni ad AWS o ad altri clienti AWS causati dalle sue attività di test o di valutazione della sicurezza.


AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento della richiesta. In genere viene inviata una risposta non automatica entro 2 giorni lavorativi dal contatto iniziale, a conferma della ricezione della richiesta.

Dopo aver esaminato le informazioni allegate alla richiesta, questa viene inoltrata al team competente per la verifica. Considerato il genere di queste richieste, ogni messaggio viene esaminato manualmente, perciò per la risposta possono occorrere fino a 7 giorni. La decisione definitiva può richiedere più tempo, a seconda della completezza delle informazioni inoltrate.

• Simulazioni di sicurezza o game day di sicurezza

• Simulazioni di supporto o game day di supporto

• Simulazioni di giochi di guerra

• White card

• Test di tipo red team vs blue team

• Simulazioni di disaster recovery

• Simulazione di altri eventi

Invia un’e-mail direttamente all'indirizzo aws-security-simulated-event@amazon.com. Ricorda di includere sempre più dettagli possibili sulla simulazione, tra cui i seguenti.

• Date

• Account coinvolti

• Asset coinvolti

• Informazioni di contatto, incluso il numero di telefono

• Descrizione dettagliata degli eventi in programma

AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento della richiesta. In genere viene inviata una risposta non automatica entro 2 giorni lavorativi dal contatto iniziale, a conferma della ricezione della richiesta.

Dopo aver esaminato le informazioni allegate alla richiesta, questa viene inoltrata al team competente per la verifica. Considerato il genere di queste richieste, ogni messaggio viene esaminato manualmente, perciò per la risposta possono occorrere fino a 7 giorni. La decisione definitiva può richiedere più tempo, a seconda della completezza delle informazioni inoltrate.

Dopo aver ricevuto l'autorizzazione, non è più necessaria alcuna azione da parte tua. Puoi quindi avviare i test per tutto il periodo dichiarato.

I clienti che desiderano eseguire un test di resistenza devono consultare la nostra policy sugli stress di resistenza.  

I clienti che desiderano la simulazione DDoS sono supportati tramite i rivenditori già approvati elencati nel seguito; reindirizzare le richieste di conseguenza.

Approvati al momento

Vendors Red Wolf Security

Gruppo NCC

AWS ProServ

 

Richiesta simulazione di eventi

 

Contattaci