Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’un des avantages liés à l’utilisation d’Azure pour tester et déployer des applications est que vous pouvez créer rapidement des environnements. Vous n’avez pas à vous soucier des aspects liés à la demande, à l’acquisition, à la mise en rack et à l’empilage de votre propre matériel en local.
Créer rapidement des environnements, c'est très bien, mais vous devez toujours effectuer les contrôles de sécurité standard. Vous souhaiterez notamment soumettre les applications que vous déployez dans Azure à un test de pénétration. Nous n’effectuons pas de tests d’intrusion à votre place, mais nous savons parfaitement qu’il est important pour vous d’exécuter de tester vos propres applications. Et nous ne pouvons que vous en remercier, car lorsque vous améliorez la sécurité de vos applications, vous renforcez la sécurité de l’ensemble de l’écosystème Azure.
Depuis le 15 juin 2017, une approbation préalable n’est plus exigée par Microsoft pour réaliser un test d’intrusion sur les ressources Azure. Ce processus concerne uniquement Microsoft Azure et ne s’applique à aucun autre Microsoft Cloud Service.
Important
Même s’il n’est plus nécessaire de prévenir Microsoft d’une activité de test d’intrusion, les clients doivent toujours respecter les Règles d’engagement pour les tests d’intrusion unifiés du cloud Microsoft.
Tests autorisés
Vous pouvez effectuer des tests d’intrusion sur vos propres applications et services hébergés par Azure sans approbation préalable. Cela inclut les tests suivants :
- Vos points de terminaison hébergés sur des machines virtuelles Azure
- Azure App Service applications (Web Apps, API Apps, Mobile Apps)
- Azure Functions et points de terminaison API
- Sites web Azure
- Tous les autres services Azure où vous possédez ou disposez d’une autorisation explicite pour tester les ressources déployées
Vous avez la possibilité d’effectuer plusieurs tests :
- Tests sur vos points de terminaison visant à détecter les 10 principales vulnérabilités de l’OWASP (Open Web Application Security Project)
- Test de sécurité des applications dynamiques (DAST) de vos applications web et API
- Test de données aléatoires de vos points de terminaison
- Analyse des ports de vos points de terminaison
Tests interdits
En revanche, vous ne pouvez effectuer aucune forme d'attaque par déni de service (DoS) en guise de test d'intrusion. Cela signifie que vous ne pouvez ni initier une attaque par déni de service proprement dite, ni effectuer les tests associés permettant de déterminer, de démontrer ou de simuler un type d'attaque par déni de service.
Test de simulation DDoS
Si vous devez tester votre résilience DDoS, vous pouvez utiliser des partenaires de simulation approuvés par Microsoft. Ces partenaires fournissent des services de simulation DDoS contrôlés qui ne respectent pas les règles de test d’intrusion :
- BreakingPoint Cloud : un générateur de trafic en libre service à l’aide duquel vos clients peuvent générer du trafic sur les points de terminaison publics dotés de DDoS Protection à des fins de simulation.
- Red Button : collaborez avec une équipe dédiée d’experts pour simuler des scénarios d’attaque DDoS réels dans un environnement contrôlé.
- RedWolf : un fournisseur de test DDoS libre-service ou guidé avec un contrôle en temps réel.
Pour en savoir plus sur ces partenaires de simulation, consultez Tester avec des partenaires de simulation.
Étapes suivantes
- En savoir plus sur les Règles d'engagement des tests d'intrusion.