Клиенты AWS могут проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в рамках 8 сервисов AWS без предварительного согласования. Данное положение вступает в силу незамедлительно.

При этом необходимо убедиться, что выполняемые действия соответствуют приведенным ниже политикам. Примечание. Клиенты не имеют права проводить какие‑либо самостоятельные оценки безопасности инфраструктуры или сервисов AWS. Если в ходе оценки безопасности вы столкнулись с какой‑либо уязвимостью в любом из сервисов AWS, просим незамедлительно связаться с отделом безопасности AWS.

Предварительное частное ознакомление и NDA. На данный момент в режиме ознакомления действует программа оценки безопасности перечисленных ниже сервисов. Перед проведением подобных оценок необходимо отправить письмо на электронный адрес pen-test-nda@amazon.com для заключения соглашения о неразглашении (NDA):

  • Amazon CloudFront

Разрешенные сервисы. Разрешается проводить оценки безопасности используемых ресурсов AWS, если они задействуют любые из перечисленных ниже сервисов. Мы постоянно обновляем данный список. Перейдите по этой ссылке, чтобы оставить нам сообщение или запрос на включение в список дополнительных сервисов:

  • инстансы Amazon EC2, шлюзы NAT и балансировщики Elastic Load Balancer;
  • Amazon RDS;
  • Amazon CloudFront;
  • Amazon Aurora;
  • Amazon API Gateway;
  • AWS Lambda и функции Lambda Edge;
  • ресурсы Amazon Lightsail;
  • среды Amazon Elastic Beanstalk;

Запрещенные действия. Перечисленные далее действия на данный момент запрещены:

  • перемещение по зонам DNS с использованием зон хостинга Amazon Route 53;
  • атаки типа «отказ в обслуживании» (DoS), атаки типа «распределенный отказ в обслуживании» (DDoS), имитации атак типа DoS и DDoS;
  • флудинг портов;
  • флудинг протоколов;
  • флудинг запросами (например, флудинг запросами на вход или запросами API);

Сообщения о нарушениях. Если AWS получит сообщение о возможных нарушениях в отношении действий, связанных с проводимым клиентом испытанием системы безопасности, оно будет перенаправлено соответствующему клиенту. Клиент обязан ответить на такое сообщение в течение 24 часов с момента его получения. При подготовке ответа необходимо указать основную причину для проведения данного действия и указать, какие меры были приняты для предотвращения подобных событий в будущем. Подробные сведения о процессе подачи сообщения о возможном нарушении см. по этой ссылке.

Ответственность торговых посредников. Торговые посредники сервисов AWS несут ответственность за испытания безопасности, проводимые их клиентами.

Все испытания безопасности должны проводиться в соответствии с условиями и положениями о проведении испытаний безопасности AWS (см. ниже).

Мы хотим, чтобы проводимые испытания становились для клиентов положительным опытом, который позволил бы эффективно собирать необходимые объективные данные и не был подвержен ошибкам или помехам. Ниже приводятся некоторые рекомендации, следование которым может оптимизировать данный процесс, а также будет благоприятно воспринято AWS как вашим провайдером, так и другими нашими клиентами.

Ограничения передачи. Для гарантии успешных испытаний, рекомендуем ограничить скорость сканирования уровнем 1 Гбит/с или 10 000 запросов в секунду.

Типы инстансов. С целью максимального сокращения потенциальных негативных последствий для среды мы рекомендуем исключить из процесса испытаний безопасности инстансы EC2 следующих типов:

  • T3.nano;
  • T2.nano;
  • T1.micro;
  • M1.small.

Проверка IP‑адресов. В силу динамической природы облачной среды все IP‑адреса должны пройти перед испытанием процедуру проверки для подтверждения их текущего владельца.

По любым возникающим вопросам можно обращаться в службу поддержки по электронному адресу aws‑security‑simulated‑event@amazon.com.

Испытания безопасности (далее – «Испытания»)
(а) должны быть ограничены сервисами, полосами пропускания, количеством запросов в секунду и типами проверяемых инстансов, приведенными на сайте AWS: 

https://aws.amazon.com/security/penetration-testing/

(б) подпадают под действие пользовательского соглашения между клиентом и AWS (текст приведен по адресу http://aws.amazon.com/agreement/, далее – «Соглашение»), и

(в) должны придерживаться политики AWS в отношении использования инструментов и сервисов оценки безопасности (приведена ниже).

Сведения о любых найденных уязвимостях, которые являются прямым результатом работы инструментов или сервисов AWS, должны быть направлены на электронный адрес aws‑security@amazon.com в течение 24 часов с момента завершения Испытания.

Политика AWS в отношении использования инструментов и сервисов оценки безопасности допускает значительную гибкость при проведении оценок безопасности ресурсов AWS, одновременно защищая других пользователей и гарантируя стабильное качество обслуживания в пределах AWS.

AWS понимает, что существует большое многообразие публичных, частных, коммерческих инструментов и сервисов, пригодных для проведения оценки безопасности ресурсов AWS, а также инструментов и сервисов с открытым исходным кодом. Термин «оценка безопасности» включает в себя любые действия, предпринимаемые для определения наличия и эффективности мер безопасности в отношении ресурсов AWS, например сканирование портов, сканирование / проверки на предмет уязвимости, проверки уязвимостей, проверки на подверженность эксплойтам, сканирование интернет‑приложениями, а также любые формы внедрения кода, подделок или отвлекающих действий, проводимых удаленно, среди / между принадлежащих клиенту ресурсов AWS, а также локально в пределах виртуализированных ресурсов.

Мы НЕ ограничиваем клиентов в выборе инструментов или сервисов для оценки безопасности используемых ресурсов AWS. При этом ЗАПРЕЩАЕТСЯ использовать какие‑либо инструменты или сервисы для выполнения атак типа «отказ в обслуживании» (DoS) или имитировать их по отношению к ЛЮБЫМ ресурсам AWS, как собственным, так и принадлежащим другим клиентам. Список запрещенных действий включает следующие операции (но не ограничивается ими):

  • флудинг запросами по определенному протоколу (например, SYN‑флудинг, ICMP‑флудинг, UDP‑флудинг);
  • флудинг запросами на выделение ресурса (например, HTTP‑флудинг, флудинг запросами на вход, флудинг запросами API).

Инструмент обеспечения безопасности, выполняющий удаленный запрос к используемому ресурсу AWS для определения имени и версии программного обеспечения и последующего их сравнения со списком версий, известных своей уязвимостью к DoS‑атакам (например, инструмент захвата заголовков), НЕ нарушает эту политику.

Аналогичным образом инструмент или сервис обеспечения безопасности, который аварийно завершает работающий процесс на используемом ресурсе AWS (временно или иным образом), если это необходимо для удаленного или локального использования в рамках оценки безопасности, НЕ нарушает эту политику. Однако такие инструменты НЕЛЬЗЯ использовать для флудинга запросами по определенному протоколу или флудинга запросами на выделение ресурса, как было упомянуто выше.

Инструменты или сервисы обеспечения безопасности, создающие, определяющие существование или демонстрирующие условия для реального выполнения атак типа DoS или их моделирования ЛЮБЫМ другим способом, категорически запрещены.

Некоторые инструменты или сервисы включают в себя скрытые / встроенные возможности для выполнения описанных атак типа DoS при использовании ненадлежащим образом. Кроме того, они могут быть оформлены в виде явного теста, проверки или иной возможности этого инструмента или сервиса. Любой инструмент или сервис обеспечения безопасности, который может использоваться для выполнения атак типа DoS, должен иметь явную возможность ОТКЛЮЧИТЬ, СБРОСИТЬ или иным образом ОБЕЗВРЕДИТЬ такую возможность. В противном случае этот инструмент или сервис ЗАПРЕЩАЕТСЯ использовать для проведения ЛЮБЫХ оценок безопасности.

Клиент AWS несет единоличную ответственность за (1) обеспечение правильной настройки инструментов и сервисов, используемых для оценки безопасности, и обеспечение успешной их работы, не допускающей выполнения или моделирования атак типа DoS, и (2) выполнение независимой проверки используемых инструментов и сервисов на предмет невыполнения атак типа DoS или их моделирования ПЕРЕД проведением оценки безопасности каких‑либо ресурсов AWS. Клиент AWS также несет ответственность за обеспечение надлежащего проведения оценки безопасности с соблюдением положений данной политики сторонними подрядчиками.

Кроме того, ответственность за любой ущерб, причиненный AWS или другим клиентам AWS в результате действий клиента по тестированию или оценке безопасности, также несет сам клиент.



Мы будем поддерживать связь с вами и информировать о продвижении процесса рассмотрения заявки. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.

После ознакомления с предоставленной вами информацией мы передадим ее на оценку соответствующей группе. В связи с характером данных заявок их автоматизированное рассмотрение невозможно, поэтому на подготовку ответа может потребоваться до 7 дней. На принятие окончательного решения может потребоваться дополнительное время в зависимости от того, понадобится ли для завершения оценки дополнительная информация.

  • тестирование безопасности программ или игр;
  • тестирование поддержки программ или игр;
  • тестирование игровых военных стратегий;
  • тестирование методом загрузки случайных данных («белых карт»);
  • тестирование с участием «красных» и «синих» команд (атакующих и защищающихся);
  • тестирование аварийного восстановления;
  • другие виды тестирования.

По всем вопросам обращайтесь по адресу электронной почты aws‑security‑simulated‑event@amazon.com. В своем сообщении укажите подробную информацию о тестировании, в том числе:

  • дату тестирования;
  • аккаунты, включенные в тестирование;
  • ресурсы, включенные в тестирование;
  • контактную информацию, включая номер телефона;
  • подробное описание запланированных мероприятий.

Мы будем поддерживать связь с вами и информировать о продвижении процесса рассмотрения заявки. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.

После ознакомления с предоставленной вами информацией мы передадим ее на оценку соответствующей группе. В связи с характером данных заявок их автоматизированное рассмотрение невозможно, поэтому на подготовку ответа может потребоваться до 7 дней. На принятие окончательного решения может потребоваться дополнительное время в зависимости от того, понадобится ли для завершения оценки дополнительная информация.

После получения авторизации никаких дополнительных действий со стороны клиента не требуется. Тестирование необходимо завершить до конца указанного вами периода.

Клиенты, желающие выполнить стресс-тестирование сети, должны ознакомиться с политикой его проведения.  

Клиенты, желающие осуществить моделирование DDoS‑атак, поддерживаются предварительно утвержденными поставщиками, которые указаны ниже. Перенаправьте запрос соответствующему поставщику.

Поставщики, утвержденные на данный момент

Vendors Red Wolf Security

NCC Group

AWS ProServ

 

 

Свяжитесь с нами