Test di intrusione
Policy dell'assistenza clienti AWS per i test di penetrazione (pen-test)
I clienti AWS sono invitati a eseguire valutazioni di sicurezza o test di penetrazione (pen-test) della loro infrastruttura AWS, senza previa approvazione, per i servizi elencati nella prossima sezione in "Servizi consentiti". Inoltre, AWS permette ai clienti di effettuare l'hosting degli strumenti di valutazione della sicurezza all'interno dello spazio IP AWS o di un altro fornitore cloud per l'esecuzione di test on-premise, in AWS o affidata a terze parti. Tutti i test di sicurezza che includono comando e controllo (C2) richiedono previa autorizzazione.
Accertarsi che queste attività siano in linea con la policy di seguito indicata. Nota: ai clienti non è consentito condurre personalmente valutazioni di sicurezza dell'infrastruttura AWS o dei servizi AWS. Se durante il processo di valutazione della sicurezza riscontri un problema di sicurezza in uno dei servizi AWS, contatta AWS Security immediatamente.
Se AWS riceve una segnalazione di uso illecito per attività relative ai tuoi test di sicurezza, te la inoltreremo. Nella risposta, indica nel dettaglio il tuo caso d'uso in una lingua approvata, senza dimenticare un punto di contatto che possiamo condividere con eventuali informatori di terze parti. Ulteriori informazioni sono disponibili qui.
I rivenditori di servizi AWS sono responsabili delle attività di test di sicurezza dei loro clienti.
Politica del servizio clienti per i test di intrusione
Servizi consentiti
- Istanze Amazon EC2, WAF, gateway NAT ed Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Gateway Amazon API
- AWS AppSync
- Funzioni AWS Lambda e Lambda Edge
- Risorse Amazon Lightsail
- Ambienti Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- Amazon Transit Gateway
- Applicazioni in hosting su S3 (il targeting di bucket S3 è severamente vietato)
Attività vietate
- Zone walking DNS attraverso zone ospitate di Amazon Route 53
- Dirottamento DNS attraverso Route 53
- Pharming DNS attraverso Route 53
- Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS simulato, DDoS simulato (questi sono soggetti alla policy sui test di simulazione DDoS)
Flooding di porte
- Flooding di protocolli
- Flooding di richieste (flooding di richieste di accesso, flooding di richieste API)
I clienti che desiderano testare servizi non approvati dovranno collaborare direttamente con Supporto AWS o con il rappresentante del tuo account.
Altri eventi simulati
Test Red/Blue/Purple Team
I test Red/Blue/Purple Team sono simulazioni di sicurezza antagonistiche progettate per testare la consapevolezza e i tempi di risposta della sicurezza di un'organizzazione
I clienti che desiderano eseguire simulazioni di sicurezza antagonistiche segrete e/o effettuare l'hosting di comando e controllo (C2) devono sottoporre un modulo sugli eventi simulati a revisione.
Test di stress di rete
Il test di stress è un test delle prestazioni che invia un volume elevato di traffico legittimo o di prova a una particolare applicazione target designata per garantire l'efficienza della capacità operativa. L'applicazione di endpoint dovrebbe svolgere la sua funzione prevista nell'ambito del test. Ogni tentativo di sovraccaricare l'obiettivo è considerato un attacco Denial of Service (DoS).
I clienti che desiderano eseguire un test di stress di rete devono consultare la nostra policy sui test di stress.
Test iPerf
iPerf è uno strumento per la misurazione e la regolazione delle prestazioni di rete. Si tratta di uno strumento multipiattaforma che può generare misurazioni delle prestazioni standardizzate per qualsiasi rete.
I clienti che desiderano eseguire un test iPerf devono sottoporre un modulo sugli eventi simulati a revisione.
Test di simulazione DDoS
L'attacco Distributed Denial of Service (DDoS) si verifica quando gli utenti malintenzionati utilizzano ingenti quantità di traffico proveniente da più fonti per tentare di condizionare la disponibilità di una determinata applicazione. Il test di simulazione DDoS utilizza un attacco DDoS controllato per consentire al proprietario di un'applicazione di valutare la resilienza dell'applicazione e di esercitarsi nella risposta all'evento.
I clienti che desiderano fare un test di simulazione DDoS dovrebbero consultare la nostra policy sui test di simulazione DDoS.
Phishing simulato
Il phishing simulato è la simulazione di un tentato attacco all'ingegneria sociale che tenta di ottenere informazioni sensibili dagli utenti. L'obiettivo è identificare gli utenti e informarli sulla differenza tra e-mail valide e di phishing per aumentare la sicurezza organizzativa.
I clienti che desiderano eseguire campagne di phishing simulato devono sottoporre un modulo sugli eventi simulati per la revisione.
Test di malware
Il test di malware è la pratica di sottoporre file o programmi dannosi ad applicazioni o programmi antivirus per migliorare le caratteristiche di sicurezza.
I clienti che desiderano eseguire un test di malware devono sottoporre un modulo sugli eventi simulati a revisione.
Richiesta di autorizzazione di altri eventi simulati
AWS si impegna a rispondere il più velocemente possibile e a informarti costantemente sullo stato di avanzamento della richiesta. Invia un modulo sugli eventi simulati per contattarci direttamente. I clienti che operano nella Regione AWS Cina (Ningxia e Pechino) devono utilizzare questo modulo sugli eventi simulati.
Assicurati di includere date, ID degli account coinvolti, asset coinvolti e informazioni di contatto, incluso il numero di telefono e la descrizione dettagliata degli eventi pianificati. In genere viene inviata una risposta non automatica entro 2 giorni lavorativi dal contatto iniziale, a conferma della ricezione della richiesta.
Tutte le richieste di eventi simulati devono essere presentate ad AWS almeno due (2) settimane prima della data di inizio.
Conclusione dei test
Dopo aver ricevuto l'autorizzazione, non è più necessaria alcuna azione da parte tua. Puoi quindi avviare i test per tutto il periodo dichiarato.
Termini e condizioni
Tutti i test di sicurezza devono essere conformi con i presenti Termini e condizioni AWS per i test di sicurezza.
Test di sicurezza:
- Saranno limitati ai servizi, alla larghezza di banda di rete, alle richieste al minuto e al tipo di istanza
- Sono soggetti ai termini dell'Accordo con il cliente Amazon Web Services tra l'utente e AWS
- Si atterranno alla policy di AWS relativa all'uso di strumenti e servizi di valutazione della sicurezza, inclusa nella sezione successiva
Eventuali riscontri di vulnerabilità o di altri problemi che sono il risultato diretto degli strumenti o dei servizi di AWS devono essere trasmessi ad AWS Security entro 24 ore dal completamento del test.
Policy di AWS riguardante l’utilizzo di strumenti e servizi di valutazione della sicurezza
La policy di AWS riguardante l’utilizzo di strumenti e servizi di valutazione della sicurezza consente una notevole flessibilità per l’esecuzione di valutazioni della sicurezza degli asset AWS proteggendo al contempo gli altri clienti AWS e assicurando la qualità del servizio in AWS in generale.
AWS è consapevole dell’esistenza di una varietà di strumenti e servizi pubblici, privati, commerciali e/o open source tra cui scegliere al fine di eseguire una valutazione della sicurezza degli asset AWS. Il termine “valutazione della sicurezza” si riferisce a tutte le attività intraprese allo scopo di determinare l’efficacia o l’esistenza di controlli di sicurezza tra gli asset AWS, ad esempio scansione delle porte, scansione/verifiche delle vulnerabilità, test di intrusione, sfruttamento, scansione di applicazioni web, nonché attività di injection, frode o fuzzing, eseguite da remoto contro gli asset AWS, o tra gli asset AWS, oppure all’interno degli asset virtualizzati stessi.
NON esistono limiti nella selezione di strumenti o servizi per eseguire una valutazione di sicurezza dei propri asset AWS. Tuttavia, SUSSISTE il divieto di utilizzare strumenti o servizi in modo tale da eseguire attacchi o simulazioni di tipo Denial-of-Service (DoS) su QUALUNQUE asset AWS, di proprietà o meno. I clienti che desiderano fare un test di simulazione DDoS dovrebbero consultare la nostra policy sui test di simulazione DDoS.
Uno strumento di sicurezza che esegue esclusivamente una query remota degli asset AWS per determinare un nome e una versione del software, come "banner grabbing", al fine di eseguire un confronto con un elenco di versioni notoriamente vulnerabili a DoS, NON costituisce una violazione di questa politica.
Inoltre, uno strumento o servizio di sicurezza che si limiti ad arrestare improvvisamente un processo in esecuzione sugli asset AWS di proprietà, in modo temporaneo o meno, ove necessario per lo sfruttamento remoto o locale nell’ambito della valutazione di sicurezza, NON costituisce una violazione di questa policy. Tuttavia, tale strumento NON deve intraprendere flooding di protocolli o flooding di richieste come sopra menzionato.
Sono espressamente vietati strumenti o servizi di sicurezza che creino, determinino l’esistenza o dimostrino una condizione DoS in QUALUNQUE altro modo, effettivo o simulato.
Alcuni strumenti e servizi includono effettive capacità DoS come descritto, in modo silente/implicito se utilizzati in modo inappropriato oppure come test esplicito/verifica o funzionalità dello strumento o servizio. Tutti gli strumenti o servizi che dispongono di questa capacità DoS devono avere la capacità esplicita di DISABILITARE, DISATTIVARE o rendere altrimenti INNOCUA tale capacità DoS. In caso contrario, lo strumento o servizio NON può essere impiegato per alcun aspetto della valutazione di sicurezza.
È esclusiva responsabilità del cliente AWS: (1) assicurare che gli strumenti e servizi impiegati per eseguire una valutazione di sicurezza siano correttamente configurati e funzionanti in modo da non eseguire attacchi o simulazioni DoS né loro simulazioni; (2) confermare in modo indipendente che lo strumento o servizio utilizzato non esegua attacchi o simulazioni DoS PRIMA della valutazione di sicurezza di asset AWS. Questa responsabilità del cliente AWS include la garanzia che i terzi appaltatori eseguano le valutazioni di sicurezza in modo da non violare la presente policy.
Inoltre, l'utente è responsabile per eventuali danni ad AWS o ad altri clienti AWS causati dalle sue attività di test o di valutazione della sicurezza.