Запросить разрешение на проведение проверки уязвимостей
Проверка уязвимостей

Приемлемая политика использования содержит описание разрешенных и запрещенных видов поведения в сервисах AWS, а также примеры нарушений защиты и угроз сетевой безопасности. Однако процесс проверки уязвимостей и моделирование других событий зачастую неотличимы от подобных действий, и мы создали политику получения разрешений на проведение такого рода тестирования и сканирования на наличие уязвимостей с выполнением входящих и исходящих действий, связанных со средой AWS.


Заполните и отправьте форму заявки AWS на проведение проверки на уязвимость и проникновение, чтобы получить разрешение на проведение проверки уязвимости любого из ресурсов AWS либо проведение аналогичного тестирования внешних объектов с помощью ресурсов AWS. При этом обратите внимание на следующие важные моменты:

  • Все тесты на уязвимость требуют наличия разрешения.
  • Чтобы подать заявку на получение разрешения, необходимо войти в портал AWS, используя доступ с правами root, связанный с инстансами, которые вы собираетесь тестировать. В противном случае в форму будут внесены некорректные данные. Если проверку будет проводить приглашенная сторонняя организация, необходимо заполнить форму и после получения разрешения известить об этом стороннюю организацию. AWS не гарантирует выдачу разрешений сторонним организациям, осуществляющим проверку.
  • Наша политика предусматривает проверку только для следующих ресурсов:

    • EC2
    • RDS
    • Aurora
    • CloudFront
    • API Gateway
    • Lambda
    • Lightsail
    • DNS Zone Walking
  • В настоящее время наша политика не предусматривает тестирования инстансов RDS типов small и micro. Тестирование инстансов EC2 типов m1.small, t1.micro и t2.nano не допускается. Это позволяет предотвратить потенциально неблагоприятное влияние на работу ресурсов, которые могут использоваться совместно с другими пользователями.

При заполнении формы необходимо указать инстансы, которые вы собираетесь тестировать, ожидаемую дату и время начала и конца тестирования, а также ознакомиться с Условиями и положениями, касающимися тестирования на уязвимость и использования надлежащих инструментов тестирования, и принять их. Обратите внимание, что тестирование может длиться не более 90 дней.

Информация, сообщаемая вами AWS в рамках данного процесса, является конфиденциальной и не может быть передана третьим лицам без вашего разрешения.

Мы ответим на вашу заявку в течение двух рабочих дней. Если ваша заявка будет одобрена, вам будет отправлен номер авторизации. Если у нас появятся вопросы, мы обратимся к вам за разъяснениями. Этот процесс может занять несколько рабочих дней, поэтому постарайтесь изначально подать как можно более подробную заявку и соответствующим образом спланировать свои действия.

Если у вас есть вопросы о процессе утверждения проверки на уязвимость и проникновения, отправьте нам сообщение по адресу aws-security-cust-pen-test@amazon.com

Запрос проверки уязвимостей

• тестирование безопасности программ или игр;

• тестирование поддержки программ или игр;

• тестирование военных стратегий;

• тестирование методом загрузки случайных данных («белых карт»);

• тестирование с участием «красных» и «синих» команд (атакующих и защищающихся);

• тестирование аварийного восстановления;

• другие виды тестирования.

По всем вопросам обращайтесь по адресу электронной почты aws-security-simulated-event@amazon.com. В своем сообщении укажите подробную информацию о тестировании, в том числе:

• даты тестирования;

• аккаунты, принимающие участие в тестировании;

• ресурсы, принимающие участие в тестировании;

• контактную информацию, включая номер телефона;

• подробное описание запланированного тестирования.

Мы будем поддерживать связь с вами и информировать о продвижении процесса рассмотрения заявки. В течение двух рабочих дней с момента подачи заявки вы получите индивидуальный ответ с подтверждением получения вашей заявки.

После ознакомления с предоставленной вами информацией мы передадим ее на оценку соответствующей группе. В связи с характером данных заявок их автоматизированное рассмотрение невозможно, поэтому на подготовку ответа может потребоваться до 7 дней. На принятие окончательного решения может потребоваться дополнительное время в зависимости от того, понадобится ли дополнительная информация для завершения оценки.

После получения авторизации никаких дополнительных действий с вашей стороны не требуется. Тестирование необходимо завершить до конца указанного вами периода.

Запросить тестирование путем моделирования событий

 

Свяжитесь с нами