Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alkalmazások behatolástesztelése fontos része az alkalmazások Azure való futtatásának. Ehhez nem kell Microsoft előzetes jóváhagyása, de be kell tartania a közzétett szabályokat. Ez a cikk összefoglalja ezeket a szabályokat, és a mérvadó forrásokra mutat.
2017. június 15-től a Microsoft már nem igényel előzetes jóváhagyást az Azure-erőforrások behatolási tesztjének elvégzéséhez. Ez az eljárás csak a Microsoft Azure-hoz kapcsolódik, és semmilyen egyéb Microsoft Cloud szolgáltatásra nem vonatkozik.
Fontos
Már nincs szükség értesítésre, de az ügyfeleknek és a jogosult harmadik feleknek meg kell felelniük az Microsoft Cloud Unified Penetration Testing Rules of Engagement. Az előjegyzési szabályok (ROE) a mérvadó forrás; ez a cikk egy összefoglaló.
Ki tesztelhet?
Behatolástesztelést végezhet Azure tulajdonában lévő erőforrásokon. Harmadik felek (például felügyelt biztonsági szolgáltatók, tanácsadó cégek és vörös csapatok) is tesztelhetnek, feltéve, hogy kifejezett írásos engedélyekkel rendelkeznek az erőforrás tulajdonosától. Rögzítse ezt az engedélyt a szolgáltatási szerződésében, még a tesztelés megkezdése előtt. Microsoft nem ad engedélyt az ügyfél nevében.
Ha az Azure-t használja a tesztelési tevékenység forrásaként (például penetrációs tesztet vagy red team eszközöket futtat Azure-beli virtuális gépekről vagy Functionsből máshol üzemeltetett rendszerek ellen), a ROE továbbra is vonatkozik Önre, és az Azure használatára továbbra is az előfizetési feltételek vonatkoznak. A ROE kifejezetten tiltja a Microsoft-szolgáltatások használatát adathalász vagy más társadalmi mérnöki támadások végrehajtására mások ellen.
Engedélyezett tesztelés
Előzetes jóváhagyás nélkül végezhet behatolástesztelést Azure által üzemeltetett alkalmazásokon és szolgáltatásokon. Ide sorolhatóak például a következők:
- Az Azure-beli virtuális gépeken üzemeltetett végpontok
- Azure App Service-alkalmazások (Web Apps, API Apps, Mobile Apps)
- Azure Functions és API-végpontok
- Azure-webhelyek
- Bármely más Azure-szolgáltatás, amelyben Ön rendelkezik vagy kifejezett engedéllyel rendelkezik az üzembe helyezett erőforrások teszteléséhez
Az elvégezhető standard tesztek közé tartoznak a következők:
- Tesztek a végpontokon az Open Web Application Security Project (OWASP) 10 legfontosabb biztonsági résének felderítéséhez
- A webalkalmazások és API-k dinamikus alkalmazásbiztonsági tesztelése (DAST)
- A végpontok fuzz tesztelése
- A végpontjai portvizsgálata
Ez a lista szemléltető jellegű, nem teljes. A Szabályzat a mérvadó forrás arról, hogy mi megengedett.
A ROE kifejezetten ösztönzi az olyan tevékenységeket is, mint például tesztfiókok vagy próbatenantek létrehozása a fiókok közötti vagy bérlők közötti tesztelési forgatókönyvekhez, forgalom generálása a saját alkalmazásain belüli terheléscsúcs-kezelési kapacitás tesztelésére, a bérlő biztonsági megfigyelő és észlelő rendszereinek tesztelése, a Feltételes hozzáférés vagy az Intune mobilalkalmazás-kezelési (MAM-) házirendek kiértékelése, a megosztott szolgáltatáskonténerekből, például az Azure Websitesből vagy az Azure Functionsből való kitörési kísérlet (felelősségteljes bejelentés mellett, és siker esetén a tevékenység azonnali megszüntetésével), valamint a mesterségesintelligencia-rendszerek határainak áttörésére tett kísérlet.
Vörös csapattevékenységek
A saját Azure-erőforrásai ellen végzett red team műveletekre (vagy egy ügyfél Azure-erőforrásai ellen, annak kifejezett írásos felhatalmazásával) ugyanaz a ROE vonatkozik. Az engedélyezett hatókörön belül a ROE nem számba veszi, hogy mely támadó technikák engedélyezettek, így a vezérlőszöveg a tiltott tevékenységek listája. Fordítson különös figyelmet ezekre a korlátozásokra, amelyek közvetlen hatással vannak a red team módszereire:
- Nem használhat, nem férhet hozzá és nem kérhet le olyan hitelesítő adatokat vagy más titkos kulcsokat, amelyek nem sajátok – beleértve a nyilvánosan kiszivárogtatott hitelesítő adatokat is. A saját környezetében a saját fiókjai megtámadása rendben van; A harmadik féltől származó hitelesítő adatok újbóli használata nem.
- Ha egy teszt során sérülékenységet fedez fel a Microsoft online szolgáltatásaiban, azonnal abba kell hagynia a tesztet, és jelentenie kell azt a Microsoft Biztonsági reagálási központnek (MSRC). Tilos a Microsoft-erőforrások elleni, a kihasználást követő tevékenység — beleértve a belső hálózatok felderítését, a bizalmas adatok kinyerését, további kód futtatását, az oldalirányú mozgást, valamint a kezdeti koncepcióbizonyításon túli továbblépést.
- A DDoS-tesztelés minden körülmények között tilos. Ehelyett használja az alább felsorolt DDoS-szimulációs partnereket.
- A túlzott forgalmat generáló hálózatigényes vagy automatizált tesztelés nem engedélyezett.
Az Azure AI-munkaterhelések elleni MI-specifikus red teaminggel kapcsolatban (beleértve az Azure OpenAI- és a Microsoft Foundry-üzembe helyezéseket) lásd: A nagy nyelvi modellek (LLM-ek) és alkalmazásaik red teamingjének megtervezése, valamint a Microsoft AI red team képzéssorozat.
Tiltott tesztelés
A következő tevékenységek engedélyezéstől függetlenül nem engedélyezettek. Ez a lista szemléltető jellegű; A ROE a mérvadó forrás.
- A Szolgáltatásmegtagadás (DoS) bármilyen tesztelése, beleértve a DoS-t meghatározó, szemléltető vagy szimuláló teszteket is. A DDoS-támadások minden körülmények között szigorúan tilosak.
- Olyan Azure-bérlők, rendszerek, naplók, adatok vagy tárfiókok elérése, vizsgálata vagy tesztelése, amelyek nem az Ön tulajdonában vannak, vagy amelyek tesztelésére nem rendelkezik kifejezett engedéllyel.
- Hitelesítő adatok vagy más, nem saját titkos kulcsok használata, elérése vagy lekérése.
- Hálózatintenzív fuzzing vagy automatizált tesztelés, amely túlzott hálózati forgalmat okoz.
- Adathalászati vagy szociális mérnöki támadások Microsoft alkalmazottakra, vagy Microsoft-szolgáltatások (beleértve a Azure) használatával adathalászatot vagy szociális mérnöki műveleteket hajt végre mások ellen.
- A Microsoft online szolgáltatásai ellen irányuló, a kompromittálást vagy a kihasználást követő, a kezdeti működési igazoláson túlmutató tevékenységek – például belső hálózatok felderítése, titkos információk kinyerése, további kód végrehajtása, oldalirányú mozgás vagy pivotálás.
DDoS-szimuláció tesztelése
Ha tesztelnie kell a DDoS rugalmasságát, használhatja a Microsoft által jóváhagyott szimulációs partnereket. Ezek a partnerek ellenőrzött DDoS-szimulációs szolgáltatásokat nyújtanak, amelyek nem sértik a behatolástesztelési szabályokat:
- BreakingPoint Cloud: Önkiszolgáló forgalomgenerátor, ahol az ügyfelek dDoS Protection-kompatibilis nyilvános végpontok felé generálhatnak forgalmat szimulációkhoz.
- MazeBolt: A RADAR™ platform folyamatosan azonosítja és lehetővé teszi a DDoS biztonsági réseinek megszüntetését – proaktív módon és az üzleti műveletek megszakítása nélkül.
- Piros gomb: Dedikált szakértői csapattal együttműködve valós DDoS-támadási forgatókönyveket szimulálhat szabályozott környezetben.
- RedWolf: Önkiszolgáló vagy irányított DDoS-tesztelési szolgáltató valós idejű vezérléssel.
A szimulációs partnerekről további információt a szimulációs partnerekkel végzett teszteléssel kapcsolatban talál.
Ha a tesztelés megjelölve van
Azure automatikus visszaélések észlelését futtatja a kimenő és bejövő forgalomon. A megbízható tesztelést időnként megjelölik, és a ROE megjegyzi, hogy a Microsoft saját belátása szerint megszakíthatja a folyamatban lévő tevékenységet, függetlenül attól, hogy az érvényes teszt-e. Ha a roE-nak megfelelő tevékenységről kap visszaélési értesítést, válaszoljon az értesítésre az ügyfél engedélyével és a hatókörön belüli tevékenység leírásával. Az engedélyezési dokumentumok könnyen hozzáférhető megőrzése jelentősen lerövidíti ezt a folyamatot.
Következő lépések
- Tekintse át az Microsoft Cloud Engagement egységes behatolástesztelési szabályait.
- Jelentse a Microsoft Biztonsági reagálási központ tesztelése során észlelt biztonsági réseket.