Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Uno dei vantaggi che si ottengono usando Azure per il test e la distribuzione delle applicazioni consiste nella creazione rapida degli ambienti. Non è necessario richiedere, acquistare e installare il proprio hardware locale.
La creazione rapida di ambienti è ottimale, ma è comunque necessario assicurarsi di eseguire la normale due diligence per la sicurezza. Una delle operazioni da eseguire è testare la penetrazione delle applicazioni distribuite in Azure. Non eseguiamo i test di penetrazione sulla vostra applicazione per voi, ma comprendiamo che desiderate e avete bisogno di eseguire test sulle vostre applicazioni. Questo è un aspetto positivo, perché quando si migliora la sicurezza delle applicazioni è possibile rendere più sicuro l'intero ecosistema di Azure.
A partire dal 15 giugno 2017, Microsoft non richiede più la pre-approvazione per eseguire un test di penetrazione sulle risorse di Azure. Questo processo interessa esclusivamente Microsoft Azure e non è applicabile ad alcun altro servizio Microsoft Cloud.
Importante
Anche se la notifica a Microsoft delle attività di test di penetrazione non è più necessaria, i clienti devono comunque rispettare le Regole di Coinvolgimento per i Test di Penetrazione Unificati di Microsoft Cloud.
Test consentiti
È possibile eseguire test di penetrazione in applicazioni e servizi ospitati in Azure senza l'approvazione precedente. Sono inclusi i test:
- Endpoint ospitati in macchine virtuali di Azure
- Applicazioni del servizio app di Azure (app Web, app per le API, app per dispositivi mobili)
- Funzioni di Azure ed endpoint API
- Siti Web di Azure
- Tutti gli altri servizi di Azure di cui si è proprietari o hanno l'autorizzazione esplicita per testare le risorse distribuite
I test standard che è possibile eseguire includono:
- Test sugli endpoint per individuare le principali 10 vulnerabilità del progetto di sicurezza delle applicazioni web aperte (OWASP)
- Test dinamico della sicurezza delle applicazioni (DAST) delle applicazioni Web e delle API
- Test con dati casuali degli endpoint
- Analisi delle porte degli endpoint
Test non consentiti
Tra i tipi di test di penetrazione che non è possibile eseguire sono incluse tutte le tipologie di attacco Denial of Service (DoS), Questo test include l'avvio di un attacco DoS stesso o l'esecuzione di test correlati che potrebbero determinare, dimostrare o simulare qualsiasi tipo di attacco DoS.
Test di simulazione DDoS
Se è necessario testare la resilienza DDoS, è possibile usare partner di simulazione approvati da Microsoft. Questi partner forniscono servizi di simulazione DDoS controllati che non violano le regole di test di penetrazione:
- BreakingPoint Cloud: generatore di traffico self-service in cui i clienti possono generare traffico sugli endpoint pubblici abilitati per protezione DDoS per le simulazioni.
- Red Button: collaborare con un team dedicato di esperti dove si può simulare scenari di attacco DDoS reali in un ambiente controllato.
- RedWolf: provider di test DDoS self-service o guidato con controllo in tempo reale.
Per altre informazioni su questi partner di simulazione, vedere Test con partner di simulazione.
Passaggi successivi
- Altre informazioni sulle regole di coinvolgimento dei test di penetrazione.