Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um dos benefícios de usar o Azure para teste e implementação de aplicações é que pode criar ambientes rapidamente. Não precisa se preocupar em requisitar, adquirir e "empilhar e montar" o seu próprio hardware no ambiente no local.
Criar ambientes rapidamente é ótimo, mas você ainda precisa se certificar de executar sua diligência de segurança normal. Uma das coisas que você provavelmente deseja fazer é realizar testes de penetração nos aplicativos que implanta no Azure. Não realizamos testes de penetração de seu aplicativo para você, mas entendemos que você deseja e precisa realizar testes em seus próprios aplicativos. Isso é bom, porque quando você aprimora a segurança de seus aplicativos, ajuda a tornar todo o ecossistema do Azure mais seguro.
A partir de 15 de junho de 2017, a Microsoft não precisa mais de pré-aprovação para realizar um teste de penetração nos recursos do Azure. Este processo está apenas relacionado com o Microsoft Azure e não é aplicável a qualquer outro serviço Microsoft Cloud.
Importante
Embora não seja mais necessário notificar a Microsoft sobre as atividades de teste de caneta, os clientes ainda devem estar em conformidade com as Regras de Engajamento do Microsoft Cloud Unified Penetration Testing.
Testes permitidos
Pode realizar testes de penetração nas suas próprias aplicações e serviços alojados no Azure sem aprovação prévia. Isto inclui testes:
- Os seus endpoints alojados em Máquinas Virtuais Azure
- Aplicações Azure App Service (Web Apps, API Apps, Mobile Apps)
- Azure Functions e endereçamentos de API
- Sites do Azure
- Existem outros serviços Azure onde possuis ou tens autorização explícita para testar os recursos implementados
Os testes padrão que você pode realizar incluem:
- Testes em seus endpoints para descobrir as 10 principais vulnerabilidades do Open Web Application Security Project (OWASP)
- Testes Dinâmicos de Segurança de Aplicações (DAST) das suas aplicações web e APIs
- Teste difuso de seus endpoints
- Varredura de portas dos seus endpoints
Testes proibidos
Um tipo de teste de caneta que você não pode executar é qualquer tipo de ataque de negação de serviço (DoS ). Esse teste inclui iniciar um ataque DoS em si ou executar testes relacionados que possam determinar, demonstrar ou simular qualquer tipo de ataque DoS.
Testes de simulação DDoS
Se precisar de testar a sua resiliência DDoS, pode usar parceiros de simulação aprovados pela Microsoft. Estes parceiros fornecem serviços controlados de simulação DDoS que não violam as regras de testes de penetração:
- BreakingPoint Cloud: Um gerador de tráfego self-service onde os seus clientes podem gerar tráfego contra endpoints públicos com proteção contra DDoS para simulações.
- Botão vermelho: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
- RedWolf: Um prestador de serviços de teste para DDoS autónomo ou com assistência guiada, com controlo em tempo real.
Para saber mais sobre esses parceiros de simulação, consulte Testes com parceiros de simulação.
Próximos passos
- Saiba mais sobre as Regras de Engajamento de Testes de Penetração.