Teste de penetração

Teste o ambiente da AWS contra padrões de segurança definidos

Política de suporte aos clientes da AWS para teste de penetração

Os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia em oito serviços, listados na próxima seção como “Serviços permitidos”.

Verifique se essas atividades estão alinhadas com a política definida a seguir. Observação: os clientes não podem realizar nenhuma avaliação de segurança da infraestrutura da AWS ou dos próprios serviços da AWS. Se você descobrir um problema de segurança em qualquer serviço da AWS durante a sua avaliação de segurança, entre em contato com a AWS Securityimediatamente.

Se a AWS receber um relatório de abuso para as atividades relacionadas aos seus testes de segurança, encaminharemos esse relatório a você. Ao responder, forneça a causa raiz da atividade relatada e detalhe o que você fez para evitar que o problema relatado ocorra novamente. Saiba mais aqui.

Responsabilidade dos revendedores: os revendedores de serviços da AWS são responsáveis pelas atividades de testes de segurança de seus clientes.

Política de atendimento ao cliente para testes de penetração

Serviços permitidos

  • Instâncias do Amazon EC2, NAT Gateways e Elastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda e funções do Lambda Edge
  • Recursos do Amazon Lightsail
  • Ambientes do Amazon Elastic Beanstalk

Atividades proibidas

  • Enumeração de zonas de DNS usando zonas hospedadas do Amazon Route 53
  • Denial of Service (DoS – Negação de serviço), Distributed Denial of Service (DDoS – Negação de serviço distribuída), DoS simulada, DDoS simulada (Sujeitas à Política de testes de simulação de DDoS)
  • Flood de portas
  • Flood de protocolos
  • Flood de solicitações (flood de solicitações de login, flood de solicitações de API)

Outros eventos simulados

Solicitação de autorização para outros eventos simulados

A AWS tem o compromisso de ser responsiva e mantê-lo informado sobre o nosso progresso. Envie diretamente um e-mail para nós em aws-security-simulated-event@amazon.com. Certifique-se de incluir datas, contas envolvidas, ativos envolvidos e informações de contato, incluindo número de telefone e descrição detalhada dos eventos planejados. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.

Após analisarmos as informações enviadas com a solicitação, encaminharemos essas informações para avaliação pelas equipes adequadas. Devido à natureza dessas solicitações, cada envio é analisado manualmente e podem ser necessários até 7 dias para serem respondidas. Uma decisão final pode demorar mais tempo, caso informações adicionais sejam necessárias para concluir a nossa avaliação.

Conclusão dos testes

Nenhuma ação adicional será necessária de sua parte depois de receber nossa autorização. Você poderá realizar seus testes até o período de conclusão que indicou. 

Teste de estresse de rede

Os clientes que desejam realizar um teste de estresse de rede devem revisar a Política de teste de estresse.  

Teste de simulação de DDoS

Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS.

Termos e condições

Todos os testes de segurança devem estar alinhados aos termos e condições de testes da AWS Security.

Dicas para testes seguros:

  • Serão limitados aos serviços, à largura de banda da rede, às solicitações por minuto e ao tipo de instância
  • O uso deste serviço está sujeito aoAcordo do cliente da Amazon Web Services
  • Cumprirão a política da AWS a respeito do uso de ferramentas e serviços de avaliação de segurança, incluídas na próxima seção

Qualquer descoberta de vulnerabilidades ou de outros problemas como resultado direto das ferramentas ou serviços da AWS deve ser comunicada para a AWS Security em até 24 horas após a conclusão dos testes.

Política da AWS a respeito do uso de ferramentas e serviços de avaliação

A política da AWS a respeito do uso de ferramentas e serviços de avaliação permite flexibilidade considerável para a execução de verificações de segurança de seus ativos da AWS, além de proteger os outros clientes da AWS e garantir a qualidade de serviço em toda a AWS.

A AWS compreende que existe uma variedade de ferramentas e serviços públicos, privados, comerciais e/ou de código-fonte aberto disponíveis para realização de uma avaliação de segurança de seus ativos da AWS. O termo “avaliação de segurança” refere-se a todas as atividades executadas para determinar a eficácia ou a existência de controles de segurança entre ativos da AWS como, por exemplo, varredura de portas, varreduras/verificações de vulnerabilidades, teste de penetração, uso de exploits, varredura de aplicativos web, bem como qualquer atividade de injeção, falsificação ou envio de dados aleatórios realizada remotamente contra ativos da AWS, entre seus ativos da AWS ou localmente dentro dos próprios ativos virtualizados.

A sua escolha de ferramentas ou serviços para executar uma avaliação de segurança de seus ativos da AWS NÃO é limitada. No entanto, você ESTÁ proibido de utilizar qualquer ferramenta ou serviço de forma a gerar ataques ou simulações de negação de serviço (DoS) contra QUALQUER ativo da AWS, seu ou de outros. Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS.

Uma ferramenta de segurança que realiza apenas uma consulta remota do seu ativo da AWS para determinar um nome e uma versão de software, como “apropriação de banner” para fins de comparação com uma lista de versões conhecidas como vulneráveis a DoS, NÃO viola esta política.

Além disso, uma ferramenta ou serviço de segurança que apenas causa falha em um processo em execução no seu ativo da AWS, temporária ou não, conforme necessário para exploit remoto ou local como parte da avaliação de segurança, NÃO viola esta política. No entanto, essa ferramenta NÃO pode realizar flood de protocolos ou solicitação de recursos, como mencionado acima.
É expressamente proibida a utilização de ferramenta ou serviço de segurança que crie, determine a existência ou demonstre uma condição de DoS de QUALQUER outra maneira, real ou simulada.

Algumas ferramentas ou serviços incluem capacidades de DoS reais, conforme descrito acima, inerentes/silenciosas se usadas inadequadamente ou como teste, verificação ou recurso explícito da ferramenta ou serviço. Qualquer ferramenta ou serviço de segurança que tenha recursos de DoS deve ter a capacidade explícita de DESABILITAR, DESARMAR ou de outra forma TORNAR INOFENSIVO esse recurso de DoS. Caso contrário, essa ferramenta ou serviço NÃO pode ser utilizada para NENHUM aspecto da avaliação de segurança.

É da exclusiva responsabilidade do cliente da AWS: (1) assegurar que as ferramentas e os serviços utilizados para realizar uma avaliação de segurança estejam devidamente configurados e operem corretamente de forma a não executar ataques ou simulações de DoS e (2) validar de forma independente que a ferramenta ou o serviço utilizado não executa nem simula ataques de DoS ANTES da avaliação de segurança de qualquer ativo da AWS. Essa responsabilidade do cliente da AWS inclui garantir que terceiros contratados realizem avaliações de segurança de uma maneira que não viole esta política.

Além disso, você é responsável por quaisquer danos à AWS ou a outros clientes da AWS causados por suas atividades de Testes ou avaliações de segurança.

Entre em contato com um representante comercial da AWS
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de segurança?
Inscreva-se hoje »
Você quer ficar atualizado sobre a segurança da AWS?
Siga-nos no Twitter »