애플리케이션 테스트 및 배포에 Azure를 사용하면 좋은 점 중 하나는 신속하게 환경을 얻을 수 있다는 점입니다. 자신의 온-프레미스 하드웨어 요청, 구입, “래킹과 스태킹(racking and stacking)”에 대해 걱정할 필요가 없습니다.
환경을 빠르게 만드는 것은 좋지만 정상적인 보안 실사를 수행해야 합니다. 수행할 수 있는 일 중 하나는 Azure에서 배포하는 애플리케이션을 침투 테스트하는 것입니다. 애플리케이션에 대한 침투 테스트를 수행하지는 않지만 사용자 고유의 애플리케이션에서 테스트를 수행하려는 경우를 이해합니다. 애플리케이션의 보안을 강화할 때 전체 Azure 에코시스템을 보다 안전하게 만드는 데 도움이 되기 때문에 좋은 일입니다.
2017년 6월 15일부터 Microsoft는 더 이상 Azure 리소스에 대한 침투 테스트를 수행하기 위해 사전 승인이 필요하지 않습니다. 이 프로세스는 다른 Microsoft 클라우드 서비스에 적용할 수 없고 Microsoft Azure에만 관련됩니다.
중요합니다
펜 테스트 활동을 Microsoft에 알리는 것은 더 이상 필요하지 않지만 고객은 여전히 Microsoft 클라우드 통합 침투 테스트 참여 규칙을 준수해야 합니다.
수행할 수 있는 표준 테스트는 다음과 같습니다.
- 엔드포인트에서 OWASP(Open Web Application Security Project) 상위 10가지 취약성을 파악하기 위한 테스트
- 엔드포인트의 유사 항목 테스트
- 엔드포인트의 포트 검색
수행할 수 없는 펜 테스트 유형 중 하나는 모든 종류의 DoS(서비스 거부) 공격입니다. 이 테스트에는 DoS 공격 자체를 시작하거나 모든 유형의 DoS 공격을 확인, 시연 또는 시뮬레이션할 수 있는 관련 테스트를 수행하는 것이 포함됩니다.
비고
Microsoft 승인 테스트 파트너를 사용하여 공격만 시뮬레이션할 수 있습니다.
- BreakingPoint Cloud: 고객이 시뮬레이션을 위해 DDoS Protection 지원 퍼블릭 엔드포인트에 대해 트래픽을 생성할 수 있는 셀프 서비스 트래픽 생성기입니다.
- 빨간색 단추: 전담 전문가 팀과 협력하여 제어된 환경에서 실제 DDoS 공격 시나리오를 시뮬레이션합니다.
- RedWolf 는 실시간 제어를 사용하는 셀프 서비스 또는 안내된 DDoS 테스트 공급자입니다.
이러한 시뮬레이션 파트너에 대한 자세한 내용은 시뮬레이션 파트너와의 테스트를 참조하세요.
다음 단계
- 침투 테스트 참여 규칙에 대해 자세히 알아봅니다.