Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’un des avantages liés à l’utilisation d’Azure pour tester et déployer des applications est que vous pouvez créer rapidement des environnements. Vous n’avez pas à vous soucier des aspects liés à la demande, à l’acquisition, à la mise en rack et à l’empilage de votre propre matériel en local.
Créer rapidement des environnements est une bonne chose, mais vous devez toujours vous assurer d’effectuer votre diligence raisonnable habituelle en matière de sécurité. L’une des choses que vous voudrez probablement faire est de tester l’intrusion des applications que vous déployez dans Azure. Nous n’effectuons pas de tests d’intrusion de votre application pour vous, mais nous comprenons que vous souhaitiez et devez effectuer des tests sur vos propres applications. C’est une bonne chose, car lorsque vous améliorez la sécurité de vos applications, vous contribuez à renforcer la sécurité de l’ensemble de l’écosystème Azure.
Depuis le 15 juin 2017, Microsoft n’exige plus d’approbation préalable pour effectuer un test d’intrusion sur des ressources Azure. Ce processus concerne uniquement Microsoft Azure et ne s’applique à aucun autre service cloud de Microsoft.
Important
Bien qu’il ne soit plus nécessaire d’informer Microsoft des activités de test d’intrusion, les clients doivent toujours se conformer aux règles d’engagement relatives aux tests d’intrusion unifiés dans le cloud Microsoft.
Tests autorisés
Vous pouvez effectuer des tests d’intrusion sur vos propres applications et services hébergés par Azure sans approbation préalable. Cela inclut les tests suivants :
- Vos points de terminaison hébergés sur des machines virtuelles Azure
- Azure App Service applications (Web Apps, API Apps, Mobile Apps)
- Azure Functions et points de terminaison API
- Sites web Azure
- Tous les autres services Azure où vous possédez ou disposez d’une autorisation explicite pour tester les ressources déployées
Les tests standard que vous pouvez effectuer sont les suivants :
- Tests sur vos terminaux pour découvrir les 10 principales vulnérabilités de l’Open Web Application Security Project (OWASP)
- Test de sécurité des applications dynamiques (DAST) de vos applications web et API
- Fuzzing de vos points de terminaison
- Balayage des ports de vos points de terminaison
Tests interdits
Un type de test d’intrusion que vous ne pouvez pas effectuer est tout type d’attaque par déni de service (DoS ). Ce test comprend le lancement d’une attaque DoS elle-même, ou la réalisation de tests connexes susceptibles de déterminer, de démontrer ou de simuler tout type d’attaque DoS.
Test de simulation DDoS
Si vous devez tester votre résilience DDoS, vous pouvez utiliser des partenaires de simulation approuvés par Microsoft. Ces partenaires fournissent des services de simulation DDoS contrôlés qui ne respectent pas les règles de test d’intrusion :
- BreakingPoint Cloud : un générateur de trafic en libre-service où vos clients peuvent générer du trafic contre des points de terminaison publics compatibles avec la protection DDoS pour les simulations.
- Bouton rouge : Travaillez avec une équipe d’experts dédiée pour simuler des scénarios d’attaque DDoS réels dans un environnement contrôlé.
- RedWolf : un fournisseur de test DDoS libre-service ou guidé avec un contrôle en temps réel.
Pour en savoir plus sur ces partenaires de simulation, consultez Tester avec des partenaires de simulation.
Étapes suivantes
- En savoir plus sur les règles d’engagement relatives aux tests d’intrusion.