Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jedną z zalet korzystania z platformy Azure do testowania i wdrażania aplikacji jest możliwość szybkiego utworzenia środowisk. Nie musisz martwić się o zamawianie, nabywanie i „umieszczanie na regałach” własnego sprzętu lokalnego.
Szybkie tworzenie środowisk jest doskonałe, ale nadal musisz upewnić się, że zachowujesz należytą staranność w zakresie bezpieczeństwa. Jedną z rzeczy, które prawdopodobnie chcesz wykonać, jest test penetracyjne aplikacji wdrażanych na platformie Azure. Nie przeprowadzamy testów penetracyjnych aplikacji, ale rozumiemy, że chcesz i musisz przeprowadzić testy we własnych aplikacjach. Jest to dobra rzecz, ponieważ podczas zwiększania bezpieczeństwa aplikacji pomagasz zwiększyć bezpieczeństwo całego ekosystemu platformy Azure.
Od 15 czerwca 2017 r. firma Microsoft nie wymaga już wstępnego zatwierdzenia w celu przeprowadzenia testu penetracyjnych względem zasobów platformy Azure. Ten proces dotyczy tylko platformy Microsoft Azure i nie ma zastosowania do innych Usług firmy Microsoft w chmurze.
Ważne
Chociaż powiadamianie firmy Microsoft o działaniach związanych z testowaniem penetracyjnym nie jest już wymagane, klienci muszą nadal być zgodni z Zasadami Ujednoliconego Testowania Penetracyjnego w Chmurze firmy Microsoft.
Dozwolone testowanie
Możesz przeprowadzić testy penetracyjne we własnych aplikacjach i usługach hostowanych na platformie Azure bez wcześniejszego zatwierdzenia. Obejmuje to testowanie:
- Punkty końcowe hostowane na maszynach wirtualnych platformy Azure
- Aplikacje usługi Azure App Service (Web Apps, API Apps, Mobile Apps)
- Azure Functions i punkty końcowe interfejsu API
- Azure Websites
- Wszelkie inne usługi platformy Azure, których jesteś właścicielem lub masz jawną autoryzację do testowania wdrożonych zasobów
Testy standardowe, które można wykonać, obejmują:
- Testy na punktach końcowych w celu wykrycia 10 najważniejszych luk w zabezpieczeniach projektu Open Web Application Security Project (OWASP)
- Dynamiczne testowanie zabezpieczeń aplikacji (DAST) aplikacji internetowych i interfejsów API
- Testowanie odporności na błędne dane w punktach końcowych
- Skanowanie portów w punktach końcowych
Zabronione testowanie
Jednym z typów testu penetrowego, którego nie można wykonać, jest atak typu odmowy usługi (DoS). Ten test obejmuje inicjowanie samego ataku doS lub wykonywanie powiązanych testów, które mogą określać, demonstrować lub symulować dowolny typ ataku DoS.
Testowanie symulacji DDoS
Jeśli musisz przetestować odporność usługi DDoS, możesz użyć zatwierdzonych przez firmę Microsoft partnerów symulacji. Partnerzy ci zapewniają kontrolowane usługi symulacji DDoS, które nie naruszają reguł testowania penetracyjnego:
- BreakingPoint Cloud: samoobsługowy generator ruchu, który umożliwia klientom generowanie ruchu przeciwko publicznym punktom końcowym z aktywną ochroną przed DDoS w celach symulacji.
- Czerwony przycisk: we współpracy z dedykowanym zespołem ekspertów symuluje rzeczywiste scenariusze ataków DDoS w kontrolowanym środowisku.
- RedWolf: dostawca testów DDoS oferujący rozwiązania samoobsługowe lub z przewodnikiem, z kontrolą w czasie rzeczywistym.
Aby dowiedzieć się więcej na temat tych partnerów symulacji, zobacz testowanie z partnerami symulacji.
Dalsze kroki
- Dowiedz się więcej o zasadach testowania penetracyjnego.