Test d’intrusion

L’un des avantages liés à l’utilisation d’Azure pour tester et déployer des applications est que vous pouvez créer rapidement des environnements. Vous n’avez pas à vous soucier des aspects liés à la demande, à l’acquisition, à la mise en rack et à l’empilage de votre propre matériel en local.

Créer rapidement des environnements, c'est très bien, mais vous devez toujours effectuer les contrôles de sécurité standard. Vous souhaiterez notamment soumettre les applications que vous déployez dans Azure à un test de pénétration. Nous n’effectuons pas de tests d’intrusion à votre place, mais nous savons parfaitement qu’il est important pour vous d’exécuter de tester vos propres applications. Et nous ne pouvons que vous en remercier, car lorsque vous améliorez la sécurité de vos applications, vous renforcez la sécurité de l’ensemble de l’écosystème Azure.

Depuis le 15 juin 2017, une approbation préalable n’est plus exigée par Microsoft pour réaliser un test d’intrusion sur les ressources Azure. Ce processus concerne uniquement Microsoft Azure et ne s’applique à aucun autre service cloud de Microsoft.

Important

Même s’il n’est plus nécessaire de prévenir Microsoft d’une activité de test d’intrusion, les clients doivent toujours respecter les Règles d’engagement pour les tests d’intrusion unifiés du cloud Microsoft.

Vous avez la possibilité d’effectuer plusieurs tests :

• Tests sur vos points de terminaison visant à détecter les 10 principales vulnérabilités de l’OWASP (Open Web Application Security Project)
• Fuzzing de vos points de terminaison
• Balayage des ports de vos points de terminaison

En revanche, vous ne pouvez effectuer aucune forme d'attaque par déni de service (DoS) en guise de test d'intrusion. Cela signifie que vous ne pouvez ni initier une attaque par déni de service proprement dite, ni effectuer les tests associés permettant de déterminer, de démontrer ou de simuler un type d'attaque par déni de service.

Notes

Vous pouvez uniquement simuler des attaques à l’aide de partenaires de test approuvés par Microsoft :

• BreakingPoint Cloud : un générateur de trafic en libre service à l’aide duquel vos clients peuvent générer du trafic sur les points de terminaison publics dotés de DDoS Protection à des fins de simulation.
• Red Button : collaborez avec une équipe dédiée d’experts pour simuler des scénarios d’attaque DDoS réels dans un environnement contrôlé.
• RedWolf est un fournisseur de tests DDoS en libre-service ou guidés avec un contrôle en temps réel.

Pour en savoir plus sur ces partenaires de simulation, consultez Tester avec des partenaires de simulation.

Étapes suivantes

• En savoir plus sur les Règles d'engagement des tests d'intrusion.