Behatolás tesztelése

Az Azure alkalmazásteszteléshez és üzembe helyezéshez való használatának egyik előnye, hogy gyorsan létrehozhat környezeteket. Nem kell aggódnia a saját helyszíni hardverek igénylése, beszerzése és "állványozása és halmozása" miatt.

A környezetek gyors létrehozása nagyszerű, de továbbra is gondoskodnia kell arról, hogy a szokásos biztonsági átvilágítást végezze el. Az egyik, amit valószínűleg meg szeretne tenni, az Azure-ban üzembe helyezendő alkalmazások behatolástesztelése. Nem hajtjuk végre az alkalmazás behatolási tesztelését, de tisztában vagyunk azzal, hogy ön szeretné és el kell végeznie a tesztelést a saját alkalmazásaiban. Ez azért jó dolog, mert ha növeli az alkalmazások biztonságát, a teljes Azure-ökoszisztémát biztonságosabbá teheti.

2017. június 15-től a Microsoft nem köti előzetes jóváhagyáshoz az Azure-erőforrások behatolástesztelésének elvégzését. Ez a folyamat csak a Microsoft Azure-hoz kapcsolódik, és nem alkalmazható más Microsoft Cloud Service-szolgáltatásokra.

Fontos

Bár a Microsoft értesítése a tolltesztelési tevékenységekről már nem szükséges, az ügyfeleknek továbbra is meg kell felelniük a Microsoft Cloud egyesített behatolástesztelési szabályainak.

Az elvégezhető standard tesztek közé tartoznak a következők:

• Tesztek a végpontokon az Open Web Application Security Project (OWASP) első 10 biztonsági résének felderítéséhez
• Fuzz tesztelés a végpontokon
• Portkeresés a végpontokon

A nem végrehajtható tolltesztek egyik típusa a szolgáltatásmegtagadási (DoS-) támadás. Ez a teszt magában foglalja magát a DoS-támadás kezdeményezését, vagy a kapcsolódó tesztek elvégzését, amelyek bármilyen típusú DoS-támadást meghatározhatnak, szemléltethetnek vagy szimulálhatnak.

Megjegyzés

Csak a Microsoft által jóváhagyott tesztelőpartnerekkel szimulálhat támadásokat:

• BreakingPoint Cloud: Önkiszolgáló forgalomgenerátor, ahol az ügyfelek A DDoS Protection által engedélyezett nyilvános végpontok felé irányuló forgalmat generálhatnak szimulációkhoz.
• Piros gomb: Egy dedikált szakértői csapattal együttműködve valós DDoS-támadási forgatókönyveket szimulálhat egy ellenőrzött környezetben.
• RedWolf önkiszolgáló vagy irányított DDoS-tesztelési szolgáltató valós idejű vezérléssel.

További információ ezekről a szimulációs partnerekről: tesztelés szimulációs partnerekkel.

Következő lépések

• További információ a behatolástesztelési szabályokról.