アプリケーションのテストとデプロイに Azure を使用するメリットの 1 つが、環境をすばやく作成できることです。 オンプレミスのハードウェアの要求、取得、および “ラックとスタック” に関して心配する必要はありません。
環境をすばやく作成することは非常に良いことですが、通常のセキュリティで適切な注意を払う必要はあります。 多くの場合に必要となる操作の 1 つは、Azure にデプロイするアプリケーションに対する侵入テストです。 お客様に代わってお客様のアプリケーションの侵入テストを行うことはありませんが、お客様が独自のアプリケーションにテストを実行する必要があると考えていることは理解しています。 お客様のアプリケーションのセキュリティを強化するときに、Azure エコシステム全体のセキュリティ保護を高めることができるため、これは良いことです。
2017 年 6 月 15 日時点で、Microsoft は Azure リソースに対する侵入テストを実施する際に事前承認を求めなくなりました。 このプロセスは Microsoft Azure にのみ関連するものであり、その他の Microsoft Cloud サービスには適用されません。
Von Bedeutung
侵入テストのアクティビティを Microsoft に通知する必要はなくなりましたが、お客様は「Microsoft Cloud Unified Penetration Testing Rules of Engagement (Microsoft Cloud 統合侵入テストの活動規則)」に引き続き従う必要があります。
許可されたテスト
事前の承認なしに、独自の Azure でホストされているアプリケーションとサービスに対して侵入テストを実行できます。 これには、次のテストが含まれます。
- Azure Virtual Machines でホストされているエンドポイント
- Azure App Service アプリケーション (Web Apps、API Apps、Mobile Apps)
- Azure Functions と API エンドポイント
- リモート プロファイル
- デプロイ済みのリソースをテストするのに適した明示的な承認を所有または確保している、他の任意の Azure サービス
実行できる標準テストは、次のとおりです。
- Open Web Application Security Project (OWASP) の上位 10 の脆弱性
- Web アプリケーションと API の動的アプリケーション セキュリティ テスト (DAST)
- 使用中のエンドポイントに対するファジー テスト
- 使用中のエンドポイントに対するポート スキャン
禁止されたテスト
実行できない侵入テストの種類の 1 つは、サービス拒否 (DoS) 攻撃です。 このテストには、DoS 攻撃自体を開始したり、DoS 攻撃の種類の判断、デモンストレーション、またはシミュレートを実行する可能性がある関連テストを実行したりすることも含まれます。
DDoS シミュレーション テスト
DDoS の回復性をテストする必要がある場合は、Microsoft が承認したシミュレーション パートナーを使用できます。 これらのパートナーは、侵入テスト規則に違反しない制御された DDoS シミュレーション サービスを提供します。
- BreakingPoint Cloud: セルフサービスのトラフィック ジェネレーター。DDoS Protection 対応のパブリック エンドポインに対して、顧客がシミュレーション トラフィックを生成することができます。
- Red Button: エキスパートから成る専任チームと連携し、管理された環境下で現実世界の DDoS 攻撃のシナリオをシミュレーションします。
- RedWolf: リアルタイム制御を備えたセルフサービスまたはガイド付き DDoS テスト プロバイダー。
これらのシミュレーション パートナーの詳細については、シミュレーション パートナーでのテストに関する記事を参照してください。
次のステップ
- 「侵入テストの実施ルール」について詳細を説明します。