Test di intrusione

Testa l'ambiente AWS rispetto a standard di sicurezza definiti

Politica del servizio clienti AWS per i test di intrusione

I clienti AWS sono invitati a eseguire valutazioni di sicurezza o test di intrusione sulla loro infrastruttura AWS, senza previa approvazione, per 8 servizi elencati nella sezione successiva sotto il titolo "Servizi consentiti".

Si prega di accertarsi che queste attività siano in linea con la politica di seguito indicata. Nota: ai clienti non è consentito condurre valutazioni di sicurezza dell'infrastruttura AWS o dei servizi AWS. In caso di riscontro di un problema di sicurezza nell'ambito di un servizio AWS in occasione della valutazione di sicurezza, contatta AWS Security immediatamente.

Se AWS riceve una segnalazione di uso illecito per attività relative ai tuoi test di sicurezza, te la inoltreremo. Nella risposta, indica la causa principale dell'attività segnalata e specifica in dettaglio cosa hai fatto per evitare che il problema segnalato si ripeta. Ulteriori informazioni sono disponibili qui.

I rivenditori di servizi AWS sono responsabili delle attività di test di sicurezza dei loro clienti.

Politica del servizio clienti per i test di intrusione

Servizi consentiti

  • Istanze Amazon EC2, gateway NAT ed Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • Funzioni AWS Lambda e Lambda Edge
  • Risorse Amazon Lightsail
  • Ambienti Amazon Elastic Beanstalk

Attività vietate

  • DNS Zone Walking attraverso zone ospitate su Amazon Route 53
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS simulato, DDoS simulato (questi sono soggetti alla politica sui test di simulazione DDoS)
  • Flooding di porte
  • Flooding di protocolli
  • Flooding di richieste (flooding di richieste di accesso, flooding di richieste API)

Simulazione di altri eventi

Richiesta di autorizzazione per la simulazione di altri eventi

AWS si impegna a rispondere il più velocemente possibile e a informarti sullo stato di avanzamento della richiesta. Invia un modulo sugli eventi simulati per contattarci direttamente. I clienti che operano nella regione AWS Cina (Ningxia e Pechino) devono utilizzare questo modulo sugli eventi simulati.

Assicurati di includere date, account coinvolti, asset coinvolti e informazioni di contatto, incluso il numero di telefono e la descrizione dettagliata degli eventi pianificati. In genere, viene inviata una risposta non automatica entro 2 giorni lavorativi dal contatto iniziale, a conferma della ricezione della richiesta.

Conclusione dei test

Dopo aver ricevuto l'autorizzazione, non è più necessaria alcuna azione da parte tua. Puoi quindi avviare i test per tutto il periodo dichiarato. 

Test di stress di rete

I clienti che desiderano eseguire un test di stress di rete devono consultare la nostra politica sui test di stress.  

Test di simulazione DDoS

I clienti che desiderano fare un test di simulazione DDoS dovrebbero consultare la nostra politica sui test di simulazione DDoS.

Termini e condizioni

Tutti i test di sicurezza devono essere conformi con i presenti Termini e condizioni AWS per i test di sicurezza.

Test di sicurezza:

  • Saranno limitati ai servizi, alla larghezza di banda di rete, alle richieste al minuto e al tipo di istanza
  • Sono soggetti ai termini dell'Accordo con il cliente Amazon Web Services tra l'utente e AWS
  • Si atterranno alla politica di AWS relativa all'uso di strumenti e servizi di valutazione della sicurezza, inclusa nella sezione successiva

Eventuali riscontri di vulnerabilità o di altri problemi che sono il risultato diretto degli strumenti o dei servizi di AWS devono essere trasmessi ad AWS Security entro 24 ore dal completamento del test.

Politica AWS relativa all'uso di strumenti e servizi di valutazione della sicurezza

La policy di AWS riguardante l’utilizzo di strumenti e servizi di valutazione della sicurezza consente una notevole flessibilità per l’esecuzione di valutazioni della sicurezza degli asset AWS proteggendo al contempo gli altri clienti AWS e assicurando la qualità del servizio in AWS in generale.

AWS è consapevole dell’esistenza di una varietà di strumenti e servizi pubblici, privati, commerciali e/o open source tra cui scegliere al fine di eseguire una valutazione della sicurezza degli asset AWS. Il termine “valutazione della sicurezza” si riferisce a tutte le attività intraprese allo scopo di determinare l’efficacia o l’esistenza di controlli di sicurezza tra gli asset AWS, ad esempio scansione delle porte, scansione/verifiche delle vulnerabilità, test di intrusione, sfruttamento, scansione di applicazioni web, nonché attività di injection, frode o fuzzing, eseguite da remoto contro gli asset AWS, o tra gli asset AWS, oppure all’interno degli asset virtualizzati stessi.

NON esistono limiti nella selezione di strumenti o servizi per eseguire una valutazione di sicurezza dei propri asset AWS. Tuttavia, SUSSISTE il divieto di utilizzare strumenti o servizi in modo tale da eseguire attacchi o simulazioni di tipo Denial-of-Service (DoS) su QUALUNQUE asset AWS, di proprietà o meno. I clienti che desiderano fare un test di simulazione DDoS dovrebbero consultare la nostra politica sui test di simulazione DDoS.

Uno strumento di sicurezza che esegue esclusivamente una query remota degli asset AWS per determinare un nome e una versione del software, come "banner grabbing", al fine di eseguire un confronto con un elenco di versioni notoriamente vulnerabili a DoS, NON costituisce una violazione di questa politica.

Inoltre, uno strumento o servizio di sicurezza che si limiti ad arrestare improvvisamente un processo in esecuzione sugli asset AWS di proprietà, in modo temporaneo o meno, ove necessario per lo sfruttamento remoto o locale nell’ambito della valutazione di sicurezza, NON costituisce una violazione di questa policy. Tuttavia, tale strumento NON deve intraprendere flooding di protocolli o flooding di richieste come sopra menzionato.
Sono espressamente vietati strumenti o servizi di sicurezza che creino, determinino l’esistenza o dimostrino una condizione DoS in QUALUNQUE altro modo, effettivo o simulato.

Alcuni strumenti e servizi includono effettive capacità DoS come descritto, in modo silente/implicito se utilizzati in modo inappropriato oppure come test esplicito/verifica o funzionalità dello strumento o servizio. Tutti gli strumenti o servizi che dispongono di questa capacità DoS devono avere la capacità esplicita di DISABILITARE, DISATTIVARE o rendere altrimenti INNOCUA tale capacità DoS. In caso contrario, lo strumento o servizio NON può essere impiegato per alcun aspetto della valutazione di sicurezza.

È esclusiva responsabilità del cliente AWS: (1) assicurare che gli strumenti e servizi impiegati per eseguire una valutazione di sicurezza siano correttamente configurati e funzionanti in modo da non eseguire attacchi o simulazioni DoS né loro simulazioni; (2) confermare in modo indipendente che lo strumento o servizio utilizzato non esegua attacchi o simulazioni DoS PRIMA della valutazione di sicurezza di asset AWS. Questa responsabilità del cliente AWS include la garanzia che i terzi appaltatori eseguano le valutazioni di sicurezza in modo da non violare la presente policy.

Inoltre, l'utente è responsabile per eventuali danni ad AWS o ad altri clienti AWS causati dalle sue attività di test o di valutazione della sicurezza.

Contatta un rappresentante aziendale di AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della sicurezza?
Invia subito la tua domanda »
Desideri aggiornamenti sulla sicurezza in AWS?
Seguici su Twitter »