Teste de penetração

Teste o ambiente da AWS contra padrões de segurança definidos

Política de suporte aos clientes da AWS para teste de penetração

Os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia para os serviços listados na próxima seção como “Produtos permitidos”. Além disso,a AWS permite que os clientes hospedem suas ferramentas de avaliação de segurança no espaço de IP da AWS ou em outro provedor de nuvem para testes on-premises, na AWS ou contratados por terceiros. Todos os testes de segurança que incluem Command and Control (C2) exigem prévia aprovação.

Verifique se essas atividades estão alinhadas com a política definida a seguir. Observação: os clientes não podem realizar nenhuma avaliação de segurança da infraestrutura da AWS ou dos próprios produtos da AWS. Se você descobrir um problema de segurança em qualquer dos produtos da AWS observado em sua avaliação de segurança, entre em contato com a AWS Security imediatamente.

Se a AWS receber uma denúncia de abuso em relação às atividades relacionadas aos seus testes de segurança, encaminharemos essa denúncia a você. Ao responder, forneça o detalhamento do seu caso de uso em um dos idiomas aprovados, incluindo um ponto de contato que possamos compartilhar com quaisquer terceiro denunciante. Saiba mais aqui.

Os revendedores de produtos da AWS são responsáveis pelas atividades de testes de segurança de seus clientes.

Política de atendimento ao cliente para testes de penetração

Produtos permitidos

  • Instâncias do Amazon EC2, WAF, NAT Gateways e Elastic Load Balancers
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS AppSync
  • Funções do AWS Lambda e do Lambda Edge
  • Recursos do Amazon Lightsail
  • Ambientes do Amazon Elastic Beanstalk
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • AWS Transit Gateway
  • Aplicações hospedadas pelo S3 (direcionar para buckets do S3 é estritamente proibido) 

Atividades proibidas

  • Enumeração de zonas de DNS usando zonas hospedadas do Amazon Route 53
  • Sequestro de DNS pelo Route 53
  • Pharming de DNS pelo Route 53
  • Denial of Service (DoS – Negação de serviço), Distributed Denial of Service (DDoS – Negação de serviço distribuída), DoS simulada, DDoS simulada (Sujeitas à Política de testes de simulação de DDoS
    Flood de portas
  • Flood de protocolos
  • Flood de solicitações (flood de solicitações de login, flood de solicitações de API) 

Os clientes que desejam testar serviços não aprovados precisarão trabalhar diretamente com o AWS Support ou com seu representante de conta. 

Outros eventos simulados


Testes com equipes vermelha/azul/roxa

Os testes com equipes vermelha/azul/roxa são simulações de segurança com adversários projetadas para testar a conscientização sobre segurança e os tempos de resposta de uma organização

Os clientes que buscam realizar simulações de segurança com adversários e/ou hospedar Command and Control (C2) devem enviar um formulário de Eventos simulados para análise. 


Teste de estresse de rede

O teste de estresse é um teste de performance que envia um grande volume de tráfego legítimo ou de teste para uma aplicação de destino específica para garantir uma capacidade operacional eficiente. A expectativa é que a aplicação de endpoint realize a função pretendida como parte do teste. Qualquer tentativa de sobrecarregar o destino é considerada uma negação de serviço (DoS).

Os clientes que desejam realizar um teste de estresse de rede devem revisar a Política de teste de estresse


Testes de iPerf

iPerf é uma ferramenta para medição e ajuste da performance da rede. É uma ferramenta interplataforma capaz de produzir medições de performance padronizadas para qualquer rede.

Os clientes que buscam realizar testes de iPerf devem enviar um formulário de Eventos simulados para análise. 


Teste de simulação de DDoS

Os ataques Distributed Denial of Service (DDoS – Negação de serviço distribuída) ocorrem quando os invasores usam uma inundação de tráfego de várias fontes para tentar afetar a disponibilidade de uma aplicação almejada. O teste de simulação de DDoS usa um ataque controlado de DDoS para permitir que o proprietário de uma aplicação avalie a resiliência dela e pratique a resposta a eventos.

Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS


Phishing simulado

Phishing simulado é a simulação de uma tentativa de ataque de engenharia social que tenta obter informações confidenciais dos usuários. A meta é identificar usuários e educá-los sobre a diferença entre e-mails válidos e e-mails de phishing para aumentar a segurança organizacional.

Os clientes que buscam realizar campanhas de Phishing simulado devem enviar um formulário de Eventos simulados para análise. 


Testes de malware

Os testes de malware são a prática de sujeitar arquivos ou programas mal-intencionados a aplicações ou programas antivírus para aumentar os recursos de segurança.

Os clientes que buscam realizar testes de malware devem enviar um formulário de Eventos simulados para análise. 


Solicitação de autorização para outros eventos simulados

A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Envie um formulário de Eventos simulados para entrar em contato conosco diretamente. (Para os clientes que operam na Região AWS China (Ningxia e Pequim), use este formulário de Eventos simulados.)

Certifique-se de incluir datas, IDs das contas envolvidas, ativos envolvidos e informações de contato, incluindo número de telefone e a descrição detalhada dos eventos planejados. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.

Todas as solicitações de Eventos simulados devem ser enviadas à AWS com pelo menos 2 (duas) semanas de antecedência em relação à data de início.


Conclusão dos testes

Nenhuma ação adicional será necessária de sua parte depois de receber nossa autorização. Você poderá realizar seus testes até o período de conclusão que indicou.

Termos e condições

Todos os testes de segurança devem estar alinhados aos termos e condições de testes da AWS Security.

Dicas para testes seguros:

  • Serão limitados aos serviços, à largura de banda da rede, às solicitações por minuto e ao tipo de instância
  • O uso deste serviço está sujeito ao Acordo do cliente da Amazon Web Services realizando entre você e a AWS
  • Cumprirão a política da AWS a respeito do uso de ferramentas e serviços de avaliação de segurança incluída na próxima seção

Qualquer descoberta de vulnerabilidades ou de outros problemas como resultado direto das ferramentas ou produtos da AWS deve ser comunicada para a AWS Security em até 24 horas após a conclusão dos testes.

Política da AWS a respeito do uso de ferramentas e serviços de avaliação

A política da AWS a respeito do uso de ferramentas e serviços de avaliação permite flexibilidade considerável para a execução de verificações de segurança de seus ativos da AWS, além de proteger os outros clientes da AWS e garantir a qualidade de serviço em toda a AWS.

A AWS compreende que existe uma variedade de ferramentas e serviços públicos, privados, comerciais e/ou de código-fonte aberto disponíveis para realização de uma avaliação de segurança de seus ativos da AWS. O termo “avaliação de segurança” refere-se a todas as atividades executadas para determinar a eficácia ou a existência de controles de segurança entre ativos da AWS como, por exemplo, varredura de portas, varreduras/verificações de vulnerabilidades, teste de penetração, uso de exploits, varredura de aplicativos web, bem como qualquer atividade de injeção, falsificação ou envio de dados aleatórios realizada remotamente contra ativos da AWS, entre seus ativos da AWS ou localmente dentro dos próprios ativos virtualizados.

A sua escolha de ferramentas ou serviços para executar uma avaliação de segurança de seus ativos da AWS NÃO é limitada. No entanto, você ESTÁ proibido de utilizar qualquer ferramenta ou serviço de forma a gerar ataques ou simulações de negação de serviço (DoS) contra QUALQUER ativo da AWS, seu ou de outros. Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS.

Uma ferramenta de segurança que realiza apenas uma consulta remota do seu ativo da AWS para determinar um nome e uma versão de software, como “apropriação de banner” para fins de comparação com uma lista de versões conhecidas como vulneráveis a DoS, NÃO viola esta política.

Além disso, uma ferramenta ou serviço de segurança que apenas causa falha em um processo em execução no seu ativo da AWS, temporária ou não, conforme necessário para exploit remoto ou local como parte da avaliação de segurança, NÃO viola esta política. No entanto, essa ferramenta NÃO pode realizar flood de protocolos ou solicitação de recursos, como mencionado acima.
 É expressamente proibida a utilização de ferramenta ou serviço de segurança que crie, determine a existência ou demonstre uma condição de DoS de QUALQUER outra maneira, real ou simulada.

Algumas ferramentas ou serviços incluem capacidades de DoS reais, conforme descrito acima, inerentes/silenciosas se usadas inadequadamente ou como teste, verificação ou recurso explícito da ferramenta ou serviço. Qualquer ferramenta ou serviço de segurança que tenha recursos de DoS deve ter a capacidade explícita de DESABILITAR, DESARMAR ou de outra forma TORNAR INOFENSIVO esse recurso de DoS. Caso contrário, essa ferramenta ou serviço NÃO pode ser utilizada para NENHUM aspecto da avaliação de segurança.

É da exclusiva responsabilidade do cliente da AWS: (1) assegurar que as ferramentas e os serviços utilizados para realizar uma avaliação de segurança estejam devidamente configurados e operem corretamente de forma a não executar ataques ou simulações de DoS e (2) validar de forma independente que a ferramenta ou o serviço utilizado não executa nem simula ataques de DoS ANTES da avaliação de segurança de qualquer ativo da AWS. Essa responsabilidade do cliente da AWS inclui garantir que terceiros contratados realizem avaliações de segurança de uma maneira que não viole esta política.

Além disso, você é responsável por quaisquer danos à AWS ou a outros clientes da AWS causados por suas atividades de testes ou avaliações de segurança. 

Entre em contato com um representante comercial da AWS
Dúvidas? Entre em contacto com um representante comercial da AWS
Você está explorando funções de segurança?
Inscreva-se hoje »
Você quer ficar atualizado sobre a segurança da AWS?
Siga-nos no Twitter »