Teste de penetração
Política de suporte aos clientes da AWS para teste de penetração
Os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia para os serviços listados na próxima seção como “Produtos permitidos”. Além disso,a AWS permite que os clientes hospedem suas ferramentas de avaliação de segurança no espaço de IP da AWS ou em outro provedor de nuvem para testes on-premises, na AWS ou contratados por terceiros. Todos os testes de segurança que incluem Command and Control (C2) exigem prévia aprovação.
Verifique se essas atividades estão alinhadas com a política definida a seguir. Observação: os clientes não podem realizar nenhuma avaliação de segurança da infraestrutura da AWS ou dos próprios produtos da AWS. Se você descobrir um problema de segurança em qualquer produto da AWS como parte da avaliação de segurança, entre em contato com a AWS Security imediatamente.
Se a AWS receber uma denúncia de abuso relacionada a atividades executadas em seus testes de segurança, encaminharemos essa denúncia a você. Ao responder, forneça o detalhamento do seu caso de uso em um dos idiomas aprovados, incluindo um ponto de contato que possamos compartilhar com quaisquer terceiro denunciante. Saiba mais aqui.
Os revendedores de produtos da AWS são responsáveis pelas atividades de testes de segurança de seus clientes.
Política de atendimento ao cliente para testes de penetração
Produtos permitidos
- Instâncias do Amazon EC2, WAF, NAT Gateways e Elastic Load Balancers
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- Funções do AWS Lambda e do Lambda Edge
- Recursos do Amazon Lightsail
- Ambientes do Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- AWS Transit Gateway
- Aplicações hospedadas pelo S3 (direcionar para buckets do S3 é estritamente proibido)
Os clientes que desejam testar serviços não aprovados precisarão trabalhar diretamente com o AWS Support ou com seu representante de conta.
Atividades proibidas
- Enumeração de zonas de DNS usando zonas hospedadas do Amazon Route 53
- Sequestro de DNS pelo Route 53
- Pharming de DNS pelo Route 53
- Denial of Service (DoS – Negação de serviço), Distributed Denial of Service (DDoS – Negação de serviço distribuída), DoS simulada, DDoS simulada (essas atividades estão sujeitas à Política de teste de simulação de DDoS) Inundação de porta
- Flood de protocolos
- Flood de solicitações (flood de solicitações de login, flood de solicitações de API)
Outros eventos simulados
Testes com equipes vermelha/azul/roxa
Os testes com equipes vermelha/azul/roxa são simulações de segurança com adversários projetadas para testar a conscientização sobre segurança e os tempos de resposta de uma organização
Os clientes que buscam realizar simulações de segurança com adversários e/ou hospedar Command and Control (C2) devem enviar um formulário de Eventos simulados para análise.
Teste de estresse de rede
O teste de estresse é um teste de performance que envia um grande volume de tráfego legítimo ou de teste para uma aplicação de destino específica para garantir uma capacidade operacional eficiente. A expectativa é que a aplicação de endpoint realize a função pretendida como parte do teste. Qualquer tentativa de sobrecarregar o destino é considerada uma negação de serviço (DoS).
Os clientes que desejam realizar um teste de estresse de rede devem revisar a política de teste de estresse.
Testes de iPerf
iPerf é uma ferramenta para medição e ajuste da performance da rede. É uma ferramenta interplataforma capaz de produzir medições de performance padronizadas para qualquer rede.
Os clientes que buscam realizar testes de iPerf devem enviar um formulário de Eventos simulados para análise.
Teste de simulação de DDoS
Os ataques Distributed Denial of Service (DDoS – Negação de serviço distribuída) ocorrem quando os invasores usam uma inundação de tráfego de várias fontes para tentar afetar a disponibilidade de uma aplicação almejada. O teste de simulação de DDoS usa um ataque controlado de DDoS para permitir que o proprietário de um aplicativo avalie a resiliência do aplicativo e pratique a resposta a eventos.
Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de teste de simulação de DDoS.
Phishing simulado
Phishing simulado é a simulação de uma tentativa de ataque de engenharia social que tenta obter informações confidenciais dos usuários. A meta é identificar usuários e educá-los sobre a diferença entre e-mails válidos e e-mails de phishing para aumentar a segurança organizacional.
Os clientes que buscam realizar campanhas de Phishing simulado devem enviar um formulário de Eventos simulados para análise.
Testes de malware
Os testes de malware são a prática de sujeitar arquivos ou programas mal-intencionados a aplicações ou programas antivírus para aumentar os recursos de segurança.
Os clientes que buscam realizar testes de malware devem enviar um formulário de Eventos simulados para análise.
Solicitação de autorização para outros eventos simulados
A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Envie um formulário de Eventos simulados para entrar em contato conosco diretamente. (Clientes que operam na Região da AWS da China (Ningxia e Beijing) devem usar este Formulário de eventos simulados.)
Certifique-se de incluir datas, IDs das contas envolvidas, ativos envolvidos e informações de contato, incluindo número de telefone e a descrição detalhada dos eventos planejados. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.
Todas as solicitações de Eventos simulados devem ser enviadas à AWS com pelo menos 2 (duas) semanas de antecedência em relação à data de início.
Conclusão dos testes
Nenhuma ação adicional será necessária de sua parte depois de receber nossa autorização. Você poderá realizar seus testes até o período de conclusão que indicou.
Termos e condições
Todos os testes de segurança devem estar alinhados aos termos e condições de testes da AWS Security.
Dicas para testes seguros:
- Os testes serão limitados aos serviços, à largura de banda da rede, às solicitações por minuto e ao tipo de instância.
- O uso deste serviço está sujeito aos termos do Contrato do cliente da Amazon Web Services firmado entre você e a AWS.
- Cumprirão a política da AWS a respeito do uso de ferramentas e serviços de avaliação de segurança incluída na próxima seção
Qualquer descoberta de vulnerabilidades ou de outros problemas que resultam diretamente de ferramentas ou produtos da AWS deve ser comunicada à AWS Security em até 24 horas após a conclusão dos testes.
Política da AWS a respeito do uso de ferramentas e serviços de avaliação
A política da AWS a respeito do uso de ferramentas e serviços de avaliação de segurança proporciona flexibilidade considerável na execução de verificações de segurança de seus ativos na AWS, além de proteger os outros clientes e garantir a qualidade de serviço em toda a AWS.
A AWS compreende que existe uma variedade de ferramentas e serviços públicos, privados, comerciais e/ou de código-fonte aberto que podem ser usados para a avaliação de segurança de seus ativos na AWS. O termo “avaliação de segurança” refere-se a todas as atividades executadas para determinar a eficácia ou a existência de controles de segurança entre ativos da AWS como, por exemplo, varredura de portas, varreduras/verificações de vulnerabilidades, teste de penetração, uso de exploits, varredura de aplicativos web, bem como qualquer atividade de injeção, falsificação ou envio de dados aleatórios realizada remotamente contra ativos da AWS, entre seus ativos da AWS ou localmente dentro dos próprios ativos virtualizados.
A sua escolha de ferramentas ou serviços para executar uma avaliação de segurança de seus ativos na AWS NÃO é limitada. No entanto, você ESTÁ proibido de utilizar qualquer ferramenta ou serviço de forma a gerar ataques ou simulações de negação de serviço (DoS) contra QUALQUER ativo da AWS, seu ou de outros. Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de teste de simulação de DDoS.
Uma ferramenta de segurança que faz apenas uma consulta remota do seu ativo da AWS, como uma “captura de banner”, para determinar o nome e a versão de um software e comparar essas informações a uma lista de versões conhecidas como sendo vulneráveis a DoS NÃO viola esta política.
Além disso, uma ferramenta ou serviço de segurança que apenas causa uma falha, temporária ou não, em um processo em execução no seu ativo na AWS a fim de explorar vulnerabilidade de forma remota ou local como parte da avaliação de segurança NÃO viola esta política. No entanto, essa ferramenta NÃO pode realizar flood de protocolos ou solicitação de recursos, como mencionado acima.
É expressamente proibida a utilização de ferramenta ou serviço de segurança que crie, determine a existência ou demonstre uma condição de DoS de QUALQUER outra maneira, real ou simulada.
Algumas ferramentas ou serviços têm capacidade real, inerente ou silenciosa, de causar um DoS, conforme descrito acima, se usados inadequadamente ou como teste, verificação ou recurso explícito da ferramenta ou do serviços. Qualquer ferramenta ou serviço de segurança que tenha recursos de DoS deve ter a capacidade explícita de DESABILITAR, DESARMAR ou de outra forma TORNAR INOFENSIVO esse recurso de DoS. Caso contrário, essa ferramenta ou serviço NÃO pode ser utilizada para NENHUM aspecto da avaliação de segurança.
É da exclusiva responsabilidade do cliente da AWS: (1) assegurar que as ferramentas e os serviços utilizados para realizar uma avaliação de segurança estejam devidamente configurados e operem corretamente de forma a não executar ataques ou simulações de DoS e (2) validar de forma independente que a ferramenta ou o serviço utilizado não executa nem simula ataques de DoS ANTES da avaliação de segurança de qualquer ativo na AWS. Essa responsabilidade do cliente da AWS inclui garantir que terceiros contratados realizem avaliações de segurança de uma maneira que não viole esta política.
Além disso, você é responsável por quaisquer danos à AWS ou a outros clientes da AWS causados por suas atividades de testes ou avaliações de segurança.