Behatolás tesztelése
Az Azure alkalmazásteszteléshez és üzembe helyezéshez való használatának egyik előnye, hogy gyorsan létrehozhat környezeteket. Nem kell aggódnia a saját helyszíni hardverek igénylése, beszerzése és "állványozása és halmozása" miatt.
A környezetek gyors létrehozása nagyszerű, de továbbra is gondoskodnia kell arról, hogy a szokásos biztonsági átvilágítást végezze el. Az egyik, amit valószínűleg meg szeretne tenni, az Azure-ban üzembe helyezendő alkalmazások behatolástesztelése. Nem hajtjuk végre az alkalmazás behatolási tesztelését, de tisztában vagyunk azzal, hogy ön szeretné és el kell végeznie a tesztelést a saját alkalmazásaiban. Ez azért jó dolog, mert ha növeli az alkalmazások biztonságát, a teljes Azure-ökoszisztémát biztonságosabbá teheti.
2017. június 15-től a Microsoft nem köti előzetes jóváhagyáshoz az Azure-erőforrások behatolástesztelésének elvégzését. Ez a folyamat csak a Microsoft Azure-hoz kapcsolódik, és nem alkalmazható más Microsoft Cloud Service-szolgáltatásokra.
Fontos
Bár a Microsoft értesítése a tolltesztelési tevékenységekről már nem szükséges, az ügyfeleknek továbbra is meg kell felelniük a Microsoft Cloud egyesített behatolástesztelési szabályainak.
Az elvégezhető standard tesztek közé tartoznak a következők:
- Tesztek a végpontokon az Open Web Application Security Project (OWASP) első 10 biztonsági résének felderítéséhez
- Fuzz tesztelés a végpontokon
- Portkeresés a végpontokon
A nem végrehajtható tolltesztek egyik típusa a szolgáltatásmegtagadási (DoS-) támadás. Ez a teszt magában foglalja magát a DoS-támadás kezdeményezését, vagy a kapcsolódó tesztek elvégzését, amelyek bármilyen típusú DoS-támadást meghatározhatnak, szemléltethetnek vagy szimulálhatnak.
Megjegyzés
Csak a Microsoft által jóváhagyott tesztelőpartnerekkel szimulálhat támadásokat:
- BreakingPoint Cloud: Önkiszolgáló forgalomgenerátor, ahol az ügyfelek A DDoS Protection által engedélyezett nyilvános végpontok felé irányuló forgalmat generálhatnak szimulációkhoz.
- Piros gomb: Egy dedikált szakértői csapattal együttműködve valós DDoS-támadási forgatókönyveket szimulálhat egy ellenőrzött környezetben.
- RedWolf önkiszolgáló vagy irányított DDoS-tesztelési szolgáltató valós idejű vezérléssel.
További információ ezekről a szimulációs partnerekről: tesztelés szimulációs partnerekkel.
Következő lépések
- További információ a behatolástesztelési szabályokról.