Testy penetracyjne
Jedną z zalet korzystania z platformy Azure na potrzeby testowania i wdrażania aplikacji jest możliwość szybkiego utworzenia środowisk. Nie musisz martwić się o pobieranie, pozyskiwanie i "stojaki i układanie" własnego sprzętu lokalnego.
Szybkie tworzenie środowisk jest doskonałe, ale nadal musisz upewnić się, że wykonujesz normalne zabezpieczenia należytej staranności. Jedną z czynności, które prawdopodobnie chcesz wykonać, jest testowanie penetracyjne aplikacji wdrażanych na platformie Azure. Nie przeprowadzamy testów penetracyjnych aplikacji, ale rozumiemy, że chcesz i musimy przeprowadzić testy we własnych aplikacjach. To dobra rzecz, ponieważ podczas zwiększania bezpieczeństwa aplikacji pomagasz zwiększyć bezpieczeństwo całego ekosystemu platformy Azure.
Od 15 czerwca 2017 r. firma Microsoft nie wymaga już wcześniejszej zgody na przeprowadzenie testu penetracyjnego zasobów platformy Azure. Ten proces jest związany tylko z platformą Microsoft Azure i nie dotyczy żadnej innej usługi w chmurze firmy Microsoft.
Ważne
Podczas powiadamiania firmy Microsoft o działaniach dotyczących testowania penetracyjnego klienci nie muszą być już zobowiązani do zachowania zgodności z regułami ujednoliconego testowania penetracyjnego firmy Microsoft w chmurze.
Testy standardowe, które można wykonać, obejmują:
- Testy na punktach końcowych w celu wykrycia 10 najważniejszych luk w zabezpieczeniach projektu Open Web Application Security Project (OWASP)
- Testowanie odporności na błędne dane w punktach końcowych
- Skanowanie portów w punktach końcowych
Jednym z typów testu piórowego, którego nie można wykonać, jest atak typu "odmowa usługi" (DoS ). Ten test obejmuje inicjowanie samego ataku doS lub wykonywanie powiązanych testów, które mogą określać, demonstrować lub symulować dowolny typ ataku doS.
Uwaga
Możesz symulować ataki tylko przy użyciu zatwierdzonych partnerów testowych firmy Microsoft:
- BreakingPoint Cloud: generator ruchu samoobsługowego, w którym klienci mogą generować ruch z publicznymi punktami końcowymi obsługującymi ochronę przed atakami DDoS na potrzeby symulacji.
- Czerwony przycisk: Współpracuj z dedykowanym zespołem ekspertów, aby symulować rzeczywiste scenariusze ataków DDoS w kontrolowanym środowisku.
- RedWolf samoobsługowy lub z przewodnikiem dostawcy testowania DDoS z kontrolą czasu rzeczywistego.
Aby dowiedzieć się więcej na temat tych partnerów symulacji, zobacz testowanie z partnerami symulacji.
Następne kroki
- Dowiedz się więcej na temat reguł testowania penetracyjnego zakontraktowania.