Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um dos benefícios do uso do Azure para implantação e testes de aplicativos é que você pode criar rapidamente ambientes. Você não precisa se preocupar sobre requisição, aquisição e "posicionamento no rack e empilhamento" do seu próprio hardware local.
Criar ambientes rapidamente é ótimo, mas você ainda precisa ter certeza de executar sua diligência de segurança normal. Uma das coisas que você provavelmente deseja fazer é testar a penetração dos aplicativos que você implanta no Azure. Não executamos testes de penetração de seu aplicativo para você, mas entendemos que você deseja e precisa executar testes em seus próprios aplicativos. Isso é uma coisa boa, porque quando você aprimora a segurança de seus aplicativos, ajuda a tornar todo o ecossistema do Azure mais seguro.
A partir de 15 de junho de 2017, a Microsoft não precisa mais de pré-aprovação para realizar um teste de penetração em relação aos recursos do Azure. Esse processo só está relacionado ao Microsoft Azure e não se aplica a outro serviço do Microsoft Cloud.
Importante
Embora a notificação da Microsoft sobre as atividades de teste de caneta não seja mais necessária, os clientes ainda devem estar em conformidade com as Regras de Participação do Microsoft Cloud Unified Penetration Testing.
Teste permitido
Você pode executar testes de penetração em seus próprios aplicativos e serviços hospedados no Azure sem aprovação prévia. Isso inclui testes:
- Seus endpoints hospedados em Máquinas Virtuais do Azure
- Aplicativos do Serviço de Aplicativo do Azure (Aplicativos Web, Aplicativos de API, Aplicativos Móveis)
- Pontos de extremidade de API e Azure Functions
- Sites do Azure
- Qualquer outro serviço do Azure onde você possui ou tem autorização explícita para testar os recursos implantados
Os testes padrão que você pode executar incluem:
- Testes em suas interfaces para descobrir as 10 principais vulnerabilidades do OWASP (Open Web Application Security Project)
- DAST (Dynamic Application Security Testing) de seus aplicativos Web e APIs
- Teste de fuzzing de seus pontos de extremidade
- Exame de portas de seus pontos de extremidade
Teste proibido
Um tipo de teste de penetração que você não pode executar é o tipo de ataque DoS (Ataque de Negação de Serviço). Esse teste inclui iniciar um ataque do DoS em si ou executar testes relacionados que podem determinar, demonstrar ou simular qualquer tipo de ataque do DoS.
Teste de simulação de DDoS
Se você precisar testar sua resiliência de DDoS, poderá usar parceiros de simulação aprovados pela Microsoft. Esses parceiros fornecem serviços de simulação DDoS controlados que não violam as regras de teste de penetração:
- BreakingPoint Cloud: um gerador de tráfego de autoatendimento onde seus clientes podem gerar tráfego em endpoints públicos com Proteção contra DDoS habilitada para simulações.
- Botão Vermelho: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
- RedWolf: um provedor de teste de DDoS de autoatendimento ou guiado com controle em tempo real.
Para saber mais sobre esses parceiros de simulação, consulte o teste com parceiros de simulação.
Próximas etapas
- Saiba mais sobre as Regras de Participação do Teste de Penetração.