Com vigor imediato, os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia em oito serviços.

Verifique se essas atividades estão alinhadas com a política definida a seguir. Nota: os clientes não podem realizar nenhuma avaliação de segurança da infraestrutura da AWS ou dos próprios serviços da AWS. Se você descobrir um problema de segurança em qualquer serviço da AWS durante a sua avaliação de segurança, entre em contato imediatamente com a segurança da AWS.

Demonstração privada e NDA: atualmente, estamos operando um programa de visualização para avaliações de segurança dos serviços abaixo. Antes de realizar essas avaliações, entre em contato com pen-test-nda@amazon.com para preencher um NDA:

  • Amazon CloudFront

Serviços permitidos: você poderá realizar avaliações de segurança dos recursos da AWS de sua propriedade se eles utilizarem os serviços listados a seguir. Atualizamos essa lista constantemente. Clique aqui para enviar o seu feedback ou solicitar a inclusão de mais serviços:

  • Instâncias do Amazon EC2, NAT Gateways e Elastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda e funções do Lambda Edge
  • Recursos do Amazon Lightsail
  • Ambientes do Amazon Elastic Beanstalk

Atividades proibidas: no momento, as atividades a seguir estão proibidas:

  • Enumeração de zonas de DNS usando zonas hospedadas do Amazon Route 53
  • Negação de serviço (DoS), Negação de serviço distribuída (DDoS), DoS simulada, DDoS simulada
  • Flood de portas
  • Flood de protocolos
  • Flood de solicitações (flood de solicitações de login, flood de solicitações de API)

Relatórios de abuso: se a AWS receber um relatório de abuso para as atividades relacionadas aos seus testes de segurança, encaminharemos esse relatório a você. Você deve responder esses relatórios em até 24 horas após a notificação. Ao responder, forneça a causa raiz da atividade relatada e detalhe o que você fez para evitar que o problema relatado ocorra novamente. Você pode saber mais sobre o processo de relatórios de abuso aqui.

Responsabilidade dos revendedores: os revendedores de serviços da AWS são responsáveis pelas atividades de testes de segurança de seus clientes.

Todos os testes de segurança devem estar alinhados aos termos e condições de testes de segurança da AWS (ver a seguir).

Queremos que os testes de segurança sejam uma experiência positiva que colete de forma eficiente a evidência objetiva necessária, sem erros ou interrupções. Veja a seguir algumas dicas úteis que, quando seguidas, provavelmente melhorarão essa experiência, além de serem apreciadas pelo seu provedor, pela AWS e por outros clientes da AWS.

Limites de taxa: para garantir o sucesso dos testes, limite a varredura a 1 Gbps ou 10.000 RPS.

Tipos de instância: recomendamos excluir os seguintes tipos de instância do EC2 das avaliações de segurança para minimizar possíveis interrupções em seu ambiente

  • T3.nano
  • T2.nano
  • T1.micro
  • M1.small

Testes de endereços IP: devido à natureza dinâmica de um ambiente de nuvem, todos os endereços IP devem ser verificados antes do início de um teste para garantir a propriedade atual do endereço IP.

Se tiver dúvidas, entre em contato com aws-security-simulated-event@amazon.com.

Os testes de segurança (os “Testes”):
(a) serão limitados aos serviços, à largura de banda da rede, às solicitações por minuto e ao tipo de instância descritos no site da AWS: 

https://aws.amazon.com/security/penetration-testing/

(b) estão sujeitos aos termos do Contrato do cliente da Amazon Web Services entre você e a AWS (disponível em http://aws.amazon.com/agreement/) (o “Contrato”) e

(c) cumprirão a política da AWS a respeito do uso de ferramentas e serviços de avaliação de segurança (incluída abaixo).

Qualquer descoberta de vulnerabilidades ou de outros problemas como resultado direto das ferramentas ou serviços da AWS deve ser comunicada ao e-mail aws-security@amazon.com em até 24 horas após a conclusão dos Testes.

A política da AWS a respeito do uso de ferramentas e serviços de avaliação permite flexibilidade considerável para a execução de verificações de segurança de seus ativos da AWS, além de proteger os outros clientes da AWS e garantir a qualidade de serviço em toda a AWS.

A AWS compreende que existe uma variedade de ferramentas e serviços públicos, privados, comerciais e/ou de código-fonte aberto disponíveis para realização de uma avaliação de segurança de seus ativos da AWS. O termo “avaliação de segurança” refere-se a todas as atividades executadas para determinar a eficácia ou a existência de controles de segurança entre ativos da AWS como, por exemplo, varredura de portas, varreduras/verificações de vulnerabilidades, teste de penetração, uso de exploits, varredura de aplicativos web, bem como qualquer atividade de injeção, falsificação ou envio de dados aleatórios realizada remotamente contra ativos da AWS, entre seus ativos da AWS ou localmente dentro dos próprios ativos virtualizados.

A sua escolha de ferramentas ou serviços para executar uma avaliação de segurança de seus ativos da AWS NÃO é limitada. No entanto, você ESTÁ proibido de utilizar qualquer ferramenta ou serviço de forma a gerar ataques ou simulações de negação de serviço (DoS) contra QUALQUER ativo da AWS, seu ou de outros. As atividades proibidas incluem, entre outras:

  • Flood de protocolo (por exemplo, flood SYN, ICMP ou UDP)
  • Flood de solicitações de recursos (por exemplo, flood de solicitações HTTP, de login ou de API)

Uma ferramenta de segurança que realiza apenas uma consulta remota do seu ativo da AWS para determinar um nome e uma versão de software, como “apropriação de banner” para fins de comparação com uma lista de versões conhecidas como vulneráveis a DoS, NÃO viola esta política.

Além disso, uma ferramenta ou serviço de segurança que apenas causa falha em um processo em execução no seu ativo da AWS, temporária ou não, conforme necessário para exploit remoto ou local como parte da avaliação de segurança, NÃO viola esta política. No entanto, essa ferramenta NÃO pode realizar flood de protocolos ou solicitação de recursos, como mencionado acima.

É expressamente proibida a utilização de ferramenta ou serviço de segurança que crie, determine a existência ou demonstre uma condição de DoS de QUALQUER outra maneira, real ou simulada.

Algumas ferramentas ou serviços incluem capacidades de DoS reais, conforme descrito acima, inerentes/silenciosas se usadas inadequadamente ou como teste, verificação ou recurso explícito da ferramenta ou serviço. Qualquer ferramenta ou serviço de segurança que tenha recursos de DoS deve ter a capacidade explícita de DESABILITAR, DESARMAR ou de outra forma TORNAR INOFENSIVO esse recurso de DoS. Caso contrário, essa ferramenta ou serviço NÃO pode ser utilizada para NENHUM aspecto da avaliação de segurança.

É da exclusiva responsabilidade do cliente da AWS: (1) assegurar que as ferramentas e os serviços utilizados para realizar uma avaliação de segurança estejam devidamente configurados e operem corretamente de forma a não executar ataques ou simulações de DoS e (2) validar de forma independente que a ferramenta ou o serviço utilizado não executa nem simula ataques de DoS ANTES da avaliação de segurança de qualquer ativo da AWS. Essa responsabilidade do cliente da AWS inclui garantir que terceiros contratados realizem avaliações de segurança de uma maneira que não viole esta política.

Além disso, você é responsável por quaisquer danos à AWS ou a outros clientes da AWS causados por suas atividades de Testes ou avaliações de segurança.



A AWS tem o compromisso de ser responsiva e mantê-lo informado sobre o nosso progresso. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.

Após analisarmos as informações enviadas com a solicitação, encaminharemos essas informações para avaliação pelas equipes adequadas. Devido à natureza dessas solicitações, cada envio é analisado manualmente e podem ser necessários até 7 dias para serem respondidas. Uma decisão final pode demorar mais tempo, caso informações adicionais sejam necessárias para concluir a nossa avaliação.

  • Simulações de segurança ou testes aleatórios de segurança
  • Simulações de suporte ou testes aleatórios de suporte
  • Simulações de jogos de guerra
  • Cartas brancas
  • Testes de equipe vermelha e equipe azul
  • Simulações de recuperação de desastres
  • Outros eventos simulados

Envie diretamente um e-mail para nós em aws-security-simulated-event@amazon.com. Ao comunicar o seu evento, não deixe de fornecer detalhes, incluindo:

  • Datas
  • Contas envolvidas
  • Ativos envolvidos
  • Informações de contato, incluindo o número de telefone
  • Descrição detalhada dos eventos planejados

A AWS tem o compromisso de ser responsiva e mantê-lo informado sobre o nosso progresso. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.

Após analisarmos as informações enviadas com a solicitação, encaminharemos essas informações para avaliação pelas equipes adequadas. Devido à natureza dessas solicitações, cada envio é analisado manualmente e podem ser necessários até 7 dias para serem respondidas. Uma decisão final pode demorar mais tempo, caso informações adicionais sejam necessárias para concluir a nossa avaliação.

Nenhuma ação adicional será necessária de sua parte depois de receber nossa autorização. Você poderá realizar seus testes até o período de conclusão que indicou.

Os clientes que desejam realizar um teste de estresse de rede devem revisar a política de teste de estresse.  

Os clientes que desejam a simulação de DDoS têm suporte dos fornecedores pré-aprovados indicados abaixo. Reenvie sua solicitação de acordo.

Aprovados no momento

Red Wolf Security

NCC Group

AWS ProServ

 

 

Entre em contato conosco