Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una de las ventajas del uso de Azure para las pruebas y la implementación de aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse del pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware local.
La creación rápida de entornos es excelente, pero todavía debe asegurarse de realizar las debidas diligencias de seguridad habituales. Una de las cosas que probablemente quiera hacer es probar la penetración de las aplicaciones que implemente en Azure. No realizamos pruebas de penetración de su aplicación para usted, pero entendemos que quiere y necesita realizar pruebas en sus propias aplicaciones. Esto es algo bueno, ya que cuando se mejora la seguridad de las aplicaciones, se ayuda a que todo el ecosistema de Azure sea más seguro.
A partir del 15 de junio de 2017, Microsoft ya no requiere aprobación previa para realizar una prueba de penetración en los recursos de Azure. Este proceso solo está relacionado con Microsoft Azure y no es aplicable ningún otro servicio de Microsoft Cloud.
Importante
Aunque ya no es necesario notificar a Microsoft sobre las actividades de pruebas de penetración, los clientes aún deben cumplir con las reglas de pruebas de penetración unificada de Microsoft Cloud.
Las pruebas estándar que puede realizar incluyen:
- Pruebas en tus puntos de conexión para descubrir las 10 principales vulnerabilidades del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP).
- Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos de conexión
- Exploración de puertos de los puntos de conexión
Un tipo de prueba de lápiz que no se puede realizar es cualquier tipo de ataque de Denegación de servicio (DoS). Esta prueba incluye iniciar un ataque DoS o realizar pruebas relacionadas que puedan determinar, demostrar o simular cualquier tipo de ataque DoS.
Nota:
Solo puede simular ataques mediante asociados de pruebas aprobados por Microsoft:
- BreakingPoint Cloud: generador de tráfico de autoservicio donde los clientes pueden generar tráfico contra puntos de conexión públicos habilitados para DDoS Protection para simulaciones.
- Botón rojo: trabaje con un equipo dedicado de expertos para simular escenarios de ataque DDoS reales en un entorno controlado.
- RedWolf es un proveedor de pruebas de DDoS guiadas o de autoservicio con control en tiempo real.
Para más información sobre estos asociados de simulación, consulte Pruebas con asociados de simulación.
Pasos siguientes
- Obtenga más información sobre las reglas de compromiso para pruebas de penetración.