тест на проникновение;

Одно из преимуществ использования Azure для развертывания и тестирования приложений — возможность быстро создавать среды. Вам не нужно беспокоиться о подаче заявок, приобретении и настройке собственного локального оборудования.

Возможность быстро создавать среды - это здорово, но вам все равно необходимо убедиться, что вы выполняете обычную проверку безопасности. Одна из вещей, которую вы, вероятно, захотите сделать, - это провести тестирование на возможность проникновения приложения, которые вы развертываете в Azure.

Мы не проводим за вас тестирование вашего приложения на возможность проникновения, но мы понимаем, что вы хотите и должны проводить тестирование своих собственных приложений. Это хорошо, поскольку, повышая безопасность своих приложений, вы помогаете повысить безопасность всей экосистемы Azure.

С 15 июня 2017 г. корпорация Майкрософт больше не требует предварительного утверждения проведения теста на проникновение для ресурсов Azure. Этот процесс касается только Microsoft Azure и не применяется к остальным облачным службам Майкрософт.

Важно!

Хотя уведомлять Майкрософт о тестировании на проникновение больше не требуется, пользователи по-прежнему должны соответствовать требованиям общих правил выполнения тестов на проникновение в Microsoft Cloud.

Стандартные тесты, которые вы можете проводить:

• тестирование конечных точек для выявления основных 10 уязвимостей в рамках проекта Open Web Application Security Project (открытый проект обеспечения безопасности веб-приложений, OWASP)
• нечеткое тестирование конечных точек;
• сканирования портов конечных точек;

Один из видов тестирования на возможность проникновения, который вы не можете провести, - это любые атаки типа отказ в обслуживании (DoS) . Данный вид тестирования включает в себя инициирование самой DoS-атаки или выполнение связанных тестов, которые могут определять, демонстрировать или моделировать любой тип DoS-атаки.

Примечание

Вы можете имитировать атаки только с помощью утвержденных Майкрософт партнеров по тестированию:

• BreakingPoint Cloud — генератор трафика самообслуживания, в котором клиенты Azure могут создавать трафик для защиты от атак DDoS с помощью общедоступных конечных точек для моделирований.
• Red Button — специализированная команда экспертов, которая поможет сымитировать реальные сценарии атак DDoS в управляемой среде.

Дополнительные сведения об этих партнерах по имитации см. в разделе Тестирования с партнерами по имитации.

Дальнейшие действия

• Подробнее о правилах взаимодействия при проведении тестирования на возможность проникновения.