тест на проникновение;

Одно из преимуществ использования Azure для развертывания и тестирования приложений — возможность быстро создавать среды. Вам не придется беспокоиться о запросе, приобретении и "стеллаже и стеке" собственного локального оборудования.

Быстрое создание сред отлично подходит, но вам все равно необходимо убедиться, что вы выполняете обычную комплексную проверку безопасности. Одна из вещей, которую вы, вероятно, захотите сделать, - это провести тестирование на возможность проникновения приложения, которые вы развертываете в Azure. Мы не выполняем тестирование на проникновение вашего приложения, но понимаем, что вы хотите и должны выполнять тестирование в собственных приложениях. Это хорошо, так как при повышении безопасности приложений вы помогаете повысить безопасность всей экосистемы Azure.

С 15 июня 2017 г. корпорация Майкрософт больше не требует предварительного утверждения проведения теста на проникновение для ресурсов Azure. Этот процесс касается только Microsoft Azure и не применяется к остальным облачным службам Майкрософт.

Важно!

Хотя уведомлять Майкрософт о тестировании на проникновение больше не требуется, пользователи по-прежнему должны соответствовать требованиям общих правил выполнения тестов на проникновение в Microsoft Cloud.

Стандартные тесты, которые вы можете проводить:

• тестирование конечных точек для выявления основных 10 уязвимостей в рамках проекта Open Web Application Security Project (открытый проект обеспечения безопасности веб-приложений, OWASP)
• нечеткое тестирование конечных точек;
• сканирования портов конечных точек;

Одним из типов тестов пера, которые вы не можете выполнить, является любая атака типа "отказ в обслуживании" (DoS). Данный вид тестирования включает в себя инициирование самой DoS-атаки или выполнение связанных тестов, которые могут определять, демонстрировать или моделировать любой тип DoS-атаки.

Примечание

Вы можете имитировать атаки только с помощью утвержденных Майкрософт партнеров по тестированию:

• BreakingPoint Cloud — генератор трафика самообслуживания, в котором клиенты Azure могут создавать трафик для защиты от атак DDoS с помощью общедоступных конечных точек для моделирований.
• Red Button — специализированная команда экспертов, которая поможет сымитировать реальные сценарии атак DDoS в управляемой среде.
• RedWolf — поставщик самостоятельного или интерактивного тестирования DDoS с управлением в режиме реального времени.

Дополнительные сведения об этих партнерах по имитации см. в разделе Тестирования с партнерами по имитации.

Дальнейшие действия

• Подробнее о правилах взаимодействия при проведении тестирования на возможность проникновения.