Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een van de voordelen van het gebruik van Azure voor het testen en implementeren van toepassingen is dat u snel omgevingen kunt maken. U hoeft zich geen zorgen te maken over het opvragen, verkrijgen en 'in rekken plaatsen en stapelen' van uw eigen on-premises hardware.
Het snel maken van omgevingen is geweldig, maar u moet er nog steeds voor zorgen dat u uw normale beveiligingsonderzoek uitvoert. Een van de dingen die u waarschijnlijk wilt doen, is een penetratietest voor de toepassingen die u in Azure implementeert. We voeren geen penetratietests van uw toepassing voor u uit, maar we begrijpen wel dat u wilt en dat u tests moet uitvoeren op uw eigen toepassingen. Dat is handig, want wanneer u de beveiliging van uw toepassingen verbetert, kunt u het hele Azure-ecosysteem veiliger maken.
Vanaf 15 juni 2017 heeft Microsoft geen voorafgaande goedkeuring meer nodig om een penetratietest uit te voeren op Azure-resources. Dit proces is alleen gerelateerd aan Microsoft Azure, en is niet van toepassing op een andere Microsoft Cloud Service.
Belangrijk
Hoewel het melden van pentestactiviteiten bij Microsoft niet langer vereist is, moeten klanten nog steeds voldoen aan de Microsoft Cloud Unified Penetration Testing Rules of Engagement.
Toegestane tests
U kunt penetratietests uitvoeren op uw eigen door Azure gehoste toepassingen en services zonder voorafgaande goedkeuring. Dit omvat testen:
- Uw eindpunten gehost op Azure Virtual Machines
- Azure App Service-toepassingen (Web Apps, API Apps, Mobile Apps)
- Azure Functions en API-eindpunten
- Azure Websites
- Alle andere Azure-services waarvoor u de eigenaar bent of expliciete autorisatie hebt om de geïmplementeerde resources te testen
Standaardtests die u kunt uitvoeren zijn:
- Test op uw eindpunten om de top 10 beveiligingsproblemen van Open Web Application Security Project (OWASP) te ontdekken
- Dynamic Application Security Testing (DAST) van uw webtoepassingen en API's
- Fuzz-testen van uw eindpunten
- Poortscans van uw eindpunten
Verboden testen
Een type pen test dat u niet kunt uitvoeren, is een aanval van Denial of Service (DoS). Deze test omvat het initiëren van een DoS-aanval zelf of het uitvoeren van gerelateerde tests die elk type DoS-aanval kunnen bepalen, demonstreren of simuleren.
DDoS-simulatietests
Als u uw DDoS-tolerantie wilt testen, kunt u door Microsoft goedgekeurde simulatiepartners gebruiken. Deze partners bieden gecontroleerde DDoS-simulatieservices die niet in strijd zijn met de regels voor penetratietests:
- BreakingPoint Cloud: een selfserviceverkeersgenerator waarmee uw klanten verkeer kunnen genereren op openbare DDoS Protection-eindpunten voor simulaties.
- Rode knop: werk samen met een speciaal team van experts om echte DDoS-aanvalsscenario's in een gecontroleerde omgeving te simuleren.
- RedWolf: een selfservice- of begeleide DDoS-testprovider met realtime controle.
Zie testen met simulatiepartners voor meer informatie over deze simulatiepartners.
Volgende stappen
- Meer informatie over de spelregels voor penetratietests.