Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una de las ventajas del uso de Azure para las pruebas y la implementación de aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse del pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware local.
La creación rápida de entornos es excelente, pero todavía debe asegurarse de realizar las debidas diligencias de seguridad habituales. Una de las cosas que probablemente quiera hacer es probar la penetración de las aplicaciones que implemente en Azure. No realizamos pruebas de penetración de su aplicación para usted, pero entendemos que quiere y necesita realizar pruebas en sus propias aplicaciones. Esto es algo bueno, ya que cuando se mejora la seguridad de las aplicaciones, se ayuda a que todo el ecosistema de Azure sea más seguro.
A partir del 15 de junio de 2017, Microsoft ya no requiere aprobación previa para realizar una prueba de penetración en los recursos de Azure. Este proceso solo está relacionado con Microsoft Azure y no es aplicable ningún otro Microsoft Cloud Service.
Importante
Aunque ya no es necesario notificar a Microsoft sobre las actividades de pruebas de penetración, los clientes aún deben cumplir con las reglas de pruebas de penetración unificada de Microsoft Cloud.
Pruebas permitidas
Puede realizar pruebas de penetración en sus propias aplicaciones y servicios hospedados en Azure sin aprobación previa. Esto incluye las pruebas:
- Los puntos de conexión hospedados en Azure Virtual Machines
- Aplicaciones de Azure App Service (Web Apps, API Apps, Mobile Apps)
- Puntos de conexión de API y Azure Functions
- Azure Websites
- Cualquier otro servicio de Azure en el que sea propietario o tenga autorización explícita para probar los recursos implementados
Las pruebas estándar que puede realizar incluyen:
- Pruebas en tus puntos de conexión para descubrir las 10 principales vulnerabilidades del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP).
- Pruebas dinámicas de seguridad de aplicaciones (DAST) de las aplicaciones web y las API
- Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos de conexión
- Exploración de puertos de los puntos de conexión
Pruebas prohibidas
Un tipo de prueba de lápiz que no se puede realizar es cualquier tipo de ataque de Denegación de servicio (DoS). Esta prueba incluye iniciar un ataque DoS o realizar pruebas relacionadas que puedan determinar, demostrar o simular cualquier tipo de ataque DoS.
Pruebas de simulación de DDoS
Si necesita probar la resistencia de DDoS, puede usar asociados de simulación aprobados por Microsoft. Estos asociados proporcionan servicios de simulación DDoS controlados que no infringen las reglas de pruebas de penetración:
- BreakingPoint Cloud: generador de tráfico de autoservicio donde los clientes pueden generar tráfico contra puntos de conexión públicos habilitados para DDoS Protection para simulaciones.
- Botón rojo: trabaje con un equipo dedicado de expertos para simular escenarios de ataque DDoS reales en un entorno controlado.
- RedWolf: proveedor de pruebas de DDoS en autoservicio o guiado con control en tiempo real.
Para más información sobre estos asociados de simulación, consulte Pruebas con asociados de simulación.
Pasos siguientes
- Obtenga más información sobre las reglas de compromiso para pruebas de penetración.