使用 Azure 進行應用程式測試和部署的其中一個優點是您可以快速建立環境。 您不必擔心申請、取得您自己的內部部署硬體,以及為其建立「機架和堆疊」。
快速建立環境非常好,但您仍然需要確保進行正常的安全性審慎評估。 您可能想要做的其中一件事是滲透測試您在 Azure 中部署的應用程式。 我們不會為您執行應用程式的滲透測試,但我們確實瞭解您想要且需要在您自己的應用程式上執行測試。 這是件好事,因為當您增強應用程式的安全性時,有助於讓整個 Azure 生態系統更安全。
自 2017 年 6 月 15 日起,Microsoft不再需要預先核准,才能對 Azure 資源進行滲透測試。 此程序僅與 Microsoft Azure 相關,並不適用任何其他 Microsoft 雲端服務。
這很重要
雖然通知 Microsoft 筆測試活動已不再是必須的,但客戶仍然必須遵守 Microsoft 雲端統一滲透測試參與規則。
您可以執行的標準測試包括:
- 在您的端點上進行測試,以找出 Open Web Application Security Project (OWASP) 前 10 個弱點
- 模糊測試
- 連接埠掃描
您無法執行的一種畫筆測試是任何類型的 阻斷服務 (DoS) 攻擊。 此測試包括起始 DoS 攻擊本身,或執行可能判斷、示範或模擬任何類型的 DoS 攻擊的相關測試。
備註
您只能使用Microsoft核准的測試合作夥伴來模擬攻擊:
- BreakingPoint Cloud:自助流量產生器,您的客戶可以針對已啟用 DDoS 保護的公用端點產生流量,以進行模擬。
- 紅色按鈕:與專用的專家小組合作,在受控制的環境中模擬真實世界的 DDoS 攻擊案例。
- RedWolf 是具有即時控制的自助或引導式 DDoS 測試提供者。
若要深入瞭解這些模擬合作夥伴,請參閱 使用模擬合作夥伴進行測試。
後續步驟
- 了解更多關於滲透測試交戰規則。