Приемлемая политика использования содержит описание разрешенных и запрещенных видов поведения в сервисах AWS, а также примеры нарушений защиты и угроз сетевой безопасности. Однако процесс проверки уязвимостей и моделирование других событий зачастую неотличимы от подобных действий, и мы создали политику получения разрешений на проведение такого рода тестирования и сканирования на наличие уязвимостей с выполнением входящих и исходящих действий, связанных со средой AWS.
Заполните и отправьте форму заявки AWS на проведение проверки на уязвимость и проникновение, чтобы получить разрешение на проведение проверки уязвимости любого из ресурсов AWS либо проведение аналогичного тестирования внешних объектов с помощью ресурсов AWS. При этом обратите внимание на следующие важные моменты:
- Все тесты на уязвимость требуют наличия разрешения.
- Чтобы подать заявку на получение разрешения, необходимо войти в портал AWS, используя доступ с правами root, связанный с инстансами, которые вы собираетесь тестировать. В противном случае в форму будут внесены некорректные данные. Если тестирование будет проводиться приглашенной вами третьей стороной, рекомендуется заполнить форму и после получения разрешения известить об этом третью сторону.
- Наша политика допускает тестирование только ваших собственных инстансов EC2 и RDS. Тестирование любых других сервисов AWS или ресурсов, принадлежащих AWS, запрещено.
- В настоящее время наша политика не предусматривает тестирования инстансов RDS типов small и micro. Тестирование инстансов EC2 типов m1.small, t1.micro и t2.nano не допускается. Это позволяет предотвратить потенциально неблагоприятное влияние на работу ресурсов, которые могут использоваться совместно с другими пользователями.
При заполнении формы необходимо указать инстансы, которые вы собираетесь тестировать, ожидаемую дату и время начала и конца тестирования, а также ознакомиться с Условиями и положениями, касающимися тестирования на уязвимость и использования надлежащих инструментов тестирования, и принять их. Обратите внимание, что тестирование может длиться не более 90 дней.
Информация, сообщаемая вами AWS в рамках данного процесса, является конфиденциальной и не может быть передана третьим лицам без вашего разрешения.
Мы ответим на вашу заявку в течение двух рабочих дней. Если ваша заявка будет одобрена, вам будет отправлен номер авторизации. Если у нас появятся вопросы, мы обратимся к вам за разъяснениями. Этот процесс может занять несколько рабочих дней, поэтому постарайтесь изначально подать как можно более подробную заявку и соответствующим образом спланировать свои действия.
• тестирование безопасности программ или игр;
• тестирование поддержки программ или игр;
• тестирование военных стратегий;
• тестирование методом загрузки случайных данных («белых карт»);
• тестирование с участием «красных» и «синих» команд (атакующих и защищающихся);
• тестирование аварийного восстановления;
• другие виды тестирования.
По всем вопросам обращайтесь по адресу электронной почты aws-security-simulated-event@amazon.com. В своем сообщении укажите подробную информацию о тестировании, в том числе:
• даты тестирования;
• аккаунты, принимающие участие в тестировании;
• ресурсы, принимающие участие в тестировании;
• контактную информацию, включая номер телефона;
• подробное описание запланированного тестирования.
Мы будем поддерживать связь с вами и информировать о продвижении процесса рассмотрения заявки. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.
После ознакомления с предоставленной вами информацией мы передадим ее на оценку соответствующей группе. В связи с характером данных заявок их автоматизированное рассмотрение невозможно, поэтому на подготовку ответа может потребоваться до 7 дней. На принятие окончательного решения может потребоваться дополнительное время в зависимости от того, понадобится ли дополнительная информация для завершения оценки.
После получения авторизации никаких дополнительных действий с вашей стороны не требуется. Тестирование необходимо завершить до конца указанного вами периода.
