Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jednou z výhod použití Azure pro testování a nasazení aplikací je, že můžete rychle vytvářet prostředí. Nemusíte si dělat starosti s poptáváním, získáváním a sestavováním a instalací vlastního místního hardwaru.
Rychlé vytváření prostředí je skvělé, ale stále se musíte ujistit, že provádíte běžnou bezpečnostní due diligence. Jednou z věcí, které pravděpodobně budete chtít udělat, je penetrační testování aplikací, které nasazujete v Azure. Penetrační testování vaší aplikace za vás neprovádíme, ale chápeme, že chcete a potřebujete provádět testování na vlastních aplikacích. To je dobrá věc, protože když zvýšíte zabezpečení svých aplikací, pomůžete zvýšit zabezpečení celého ekosystému Azure.
Od 15. června 2017 už Microsoft nevyžaduje předběžné schválení k provedení penetračního testu s využitím prostředků Azure. Tento proces se týká pouze platformy Microsoft Azure a nevztahuje se na žádné jiné cloudové služby Microsoftu.
Důležité
I když již není vyžadováno upozorňování společnosti Microsoft na aktivity testování perem, zákazníci musí stále dodržovat pravidla zapojení Microsoft Cloud Unified Penetration Testing.
Povolené testování
Testování průniku můžete provádět na vlastních aplikacích a službách hostovaných v Azure bez předchozího schválení. Patří sem testování:
- Vaše koncové body hostované na virtuálních počítačích Azure
- Aplikace Azure App Service (Web Apps, API Apps, Mobile Apps)
- Koncové body azure Functions a rozhraní API
- Webové stránky Azure
- Všechny ostatní služby Azure, ve kterých vlastníte nebo máte explicitní autorizaci k otestování nasazených prostředků
Mezi standardní testy, které můžete provést, patří:
- Testy na koncových bodech odhalí 10 nejčastějších zranitelností projektu OWASP (Open Web Application Security Project).
- Dynamické testování zabezpečení aplikací (DAST) webových aplikací a rozhraní API
- Testování koncových bodů neplatným vstupem
- Prohledávání portů koncových bodů
Zakázané testování
Jedním z typů testu perem, který nemůžete provést, je jakýkoli druh útoku odmítnutí služby (DoS ). Tento test zahrnuje zahájení samotného DoS útoku nebo provedení souvisejících testů, které mohou určit, demonstrovat nebo simulovat jakýkoli typ DoS útoku.
Testování simulace DDoS
Pokud potřebujete otestovat odolnost před útoky DDoS, můžete použít partnery simulace schválené Microsoftem. Tito partneři poskytují řízené simulační služby DDoS, které nesplňují pravidla penetračního testování:
- BreakingPoint Cloud: Samoobslužný generátor provozu, kde mohou vaši zákazníci generovat provoz proti veřejným koncovým bodům s podporou DDoS Protection pro simulace.
- Červené tlačítko: Spolupracujte se specializovaným týmem odborníků na simulaci reálných scénářů DDoS útoků v kontrolovaném prostředí.
- RedWolf: Samoobslužný nebo řízený poskytovatel testování DDoS s kontrolou v reálném čase.
Další informace o těchto partnerech pro simulaci najdete v tématu Testování s partnery pro simulace.
Další kroky
- Zjistěte více o pravidlech zapojení do penetračního testování.