Pruebas de penetración

Una de las ventajas del uso de Azure para las pruebas y la implementación de aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse del pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware local.

Crear entornos rápidamente está muy bien, pero debe asegurarse de realizar sus diligencias de seguridad normales. Una de las cosas que quizá desee hacer es realizar pruebas de penetración de las aplicaciones que implemente en Azure. No realizamos pruebas de penetración de su aplicación, pero sabemos que quiere y necesita realizar dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al mejorar la seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de Azure sea más seguro.

Desde el 15 de junio de 2017, Microsoft ya no requiere la aprobación previa para llevar a cabo pruebas de penetración con recursos de Azure. Este proceso solo está relacionado con Microsoft Azure y no es aplicable ningún otro servicio de Microsoft Cloud.

Importante

Aunque notificar a Microsoft de las actividades de pruebas de penetración ya no es obligatorio, los clientes deben cumplir las reglas de compromiso de las pruebas de penetración unificadas de Microsoft Cloud de todos modos.

Entre las pruebas estándar que puede realizar se incluyen:

• Pruebas en los puntos de conexión para descubrir las 10 principales vulnerabilidades del Proyecto de seguridad de aplicación web abierta (OWASP)
• Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos de conexión
• Exploración de puertos de los puntos de conexión

Un tipo de prueba que no puede realizar es cualquier tipo de ataque de denegación de servicio (DoS). Esta prueba incluye iniciar un ataque de denegación de servicio o realizar pruebas relacionadas que puedan determinar, demostrar o simular cualquier tipo de ataque de denegación de servicio.

Nota

Solo puede simular ataques mediante partners de prueba aprobados por Microsoft:

• BreakingPoint Cloud: un generador de tráfico de autoservicio donde los clientes pueden generar tráfico destinado a los puntos de conexión públicos que tengan habilitado el servicio DDoS Protection con fines de simulación.
• Red Button: trabaje con un equipo dedicado de expertos para simular escenarios de ataque DDoS reales en un entorno controlado.
• RedWolf es un proveedor de pruebas de DDoS guiadas o de autoservicio con control en tiempo real.

Para más información sobre estos partners de simulación, consulte Pruebas con partners de simulación.

Pasos siguientes

• Más información sobre las reglas de compromiso de pruebas de penetración.