Penetrationstests

Einer der Vorteile beim Einsatz von Azure für Testen und Bereitstellung von Anwendungen besteht darin, dass Sie schnell Umgebungen erstellen können. Sie müssen sich keine Gedanken über Anforderung, Erwerb und Aufbau Ihrer eigenen lokalen Hardware machen.

Das schnelle Erstellen von Umgebungen ist zwar hervorragend, aber Sie müssen trotzdem Ihrer normalen Sorgfaltspflicht in Sachen Sicherheit nachkommen. Wahrscheinlich möchten Sie einen Penetrationstest der Anwendungen durchführen, die Sie in Azure bereitstellen. Wir führen keinen Penetrationstest Ihrer Anwendung für Sie durch, aber wir verstehen, dass Sie Tests Ihrer eigenen Anwendungen durchführen möchten und müssen. Das ist eine gute Sache, denn wenn Sie die Sicherheit Ihrer Anwendungen verbessern, helfen Sie, das gesamte Azure-Ökosystem sicherer zu machen.

Seit dem 15. Juni 2017 benötigt Microsoft keine Vorabgenehmigung mehr, um Penetrationstests für Azure-Ressourcen durchzuführen. Dieser Prozess bezieht sich nur auf Microsoft Azure und ist nicht auf andere Microsoft Cloud-Dienste anwendbar.

Wichtig

Obwohl die Benachrichtigung von Microsoft über Penetrationstestaktivitäten nicht mehr erforderlich ist, müssen Kunden weiterhin die Microsoft Cloud Unified Penetration Testing Rules of Engagement (Einheitliche Einsatzregeln für Penetrationstests für die Microsoft Cloud) einhalten.

Folgende Standardtests können Sie durchführen:

• Tests an Ihren Endpunkten, um die wichtigsten 10 OWASP-Sicherheitsrisiken (Open Web Application Security Project)
• Fuzzing Ihrer Endpunkte
• Portüberwachung Ihrer Endpunkte

Eine Art von Penetrationstest, den Sie nicht ausführen können, ist jegliche Form eines Denial-of-Service (DoS)-Angriffs. Dies schließt einen selbst initiierten DoS-Angriff bzw. das Durchführen zugehöriger Tests ein, die einen DoS-Angriff bestimmen, demonstrieren oder simulieren könnten.

Hinweis

Sie können Angriffe nur mit genehmigten Microsoft-Testpartnern simulieren:

• BreakingPoint Cloud: Ein Self-Service-Datenverkehrsgenerator, mit dem Azure-Kunden zu Simulationszwecken Datenverkehr für öffentliche Endpunkte generieren können, für die DDoS Protection aktiviert ist.
• Rote Schaltfläche: Arbeiten Sie mit einem dedizierten Team von Experten zusammen, um DDoS-Angriffsszenarien in einer kontrollierten Umgebung zu simulieren.
• RedWolf ist ein Self-Service- oder geführter DDoS-Testanbieter mit Echtzeitsteuerung.

Weitere Informationen zu diesen Simulationspartnern finden Sie unter Tests mit Simulationspartnern.

Nächste Schritte

• Erfahren Sie mehr über Penetrationstests – Rules of Engagement.