Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einer der Vorteile beim Einsatz von Azure für Testen und Bereitstellung von Anwendungen besteht darin, dass Sie schnell Umgebungen erstellen können. Sie müssen sich keine Gedanken über Anforderung, Erwerb und Aufbau Ihrer eigenen lokalen Hardware machen.
Das schnelle Erstellen von Umgebungen ist großartig, aber Sie müssen trotzdem sicherstellen, dass Sie Ihre normale Sicherheitsüberprüfung durchführen. Eines der Dinge, die Sie möglicherweise tun möchten, ist, Penetrationstests für die Anwendungen durchzuführen, die Sie in Azure bereitstellen. Wir führen keine Penetrationstests Ihrer Anwendung für Sie durch, aber wir verstehen, dass Sie möchten und müssen Tests für Ihre eigenen Anwendungen durchführen. Das ist eine gute Sache, denn wenn Sie die Sicherheit Ihrer Anwendungen verbessern, tragen Sie dazu bei, das gesamte Azure-Ökosystem sicherer zu machen.
Ab dem 15. Juni 2017 erfordert Microsoft keine Vorabgenehmigung mehr, um einen Penetrationstest für Azure-Ressourcen durchzuführen. Dieser Prozess bezieht sich nur auf Microsoft Azure und ist nicht auf andere Microsoft Cloud-Dienste anwendbar.
Von Bedeutung
Während die Benachrichtigung von Microsoft über Stifttestaktivitäten nicht mehr erforderlich ist, müssen Kunden weiterhin die Microsoft Cloud Unified Penetration Testing Rules of Engagement einhalten.
Zulässige Tests
Sie können Penetrationstests für Ihre eigenen von Azure gehosteten Anwendungen und Dienste ohne vorherige Genehmigung durchführen. Dazu gehören Tests:
- Ihre Endpunkte, die auf virtuellen Azure-Computern gehostet werden
- Azure App Service-Anwendungen (Web Apps, API-Apps, Mobile Apps)
- Azure-Funktionen und API-Endpunkte
- Azure-Websites
- Alle anderen Azure-Dienste, die Sie besitzen oder über eine explizite Autorisierung zum Testen der bereitgestellten Ressourcen verfügen
Zu den Standardtests, die Sie ausführen können, gehören:
- Testet auf Ihren Endpunkten, um die 10 wichtigsten Sicherheitsanfälligkeiten von Open Web Application Security Project (OWASP) aufzudecken
- Dynamische Anwendungssicherheitstests (DAST) Ihrer Webanwendungen und APIs
- Fuzzing Ihrer Endpunkte
- Portüberwachung Ihrer Endpunkte
Verbotene Tests
Ein Typ von Stifttest, den Sie nicht ausführen können, ist eine Art von Denial of Service (DoS) -Angriff. Dieser Test umfasst das Initiieren eines DoS-Angriffs selbst oder das Ausführen verwandter Tests, die einen DoS-Angriffstyp bestimmen, demonstrieren oder simulieren können.
DDoS-Simulationstests
Wenn Sie Ihre DDoS-Resilienz testen müssen, können Sie von Microsoft genehmigte Simulationspartner verwenden. Diese Partner bieten kontrollierte DDoS-Simulationsdienste, die nicht gegen die Penetrationstestregeln verstoßen:
- BreakingPoint Cloud: Ein Self-Service-Datenverkehrsgenerator, bei dem Ihre Kunden Datenverkehr für DDoS Protection-fähige öffentliche Endpunkte für Simulationen generieren können.
- Rote Schaltfläche: Arbeiten Sie mit einem dedizierten Team von Experten zusammen, um reale DDoS-Angriffsszenarien in einer kontrollierten Umgebung zu simulieren.
- RedWolf: Ein Selbstbedienungs- oder geführter DDoS-Testanbieter mit Echtzeitsteuerung.
Weitere Informationen zu diesen Simulationspartnern finden Sie unter Tests mit Simulationspartnern.
Nächste Schritte
- Erfahren Sie mehr über die Penetrationstest-Einsatzregeln.