Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Uno dei vantaggi che si ottengono usando Azure per il test e la distribuzione delle applicazioni consiste nella creazione rapida degli ambienti. Non è necessario richiedere, acquistare e installare il proprio hardware locale.
La creazione rapida di ambienti è ottimale, ma è comunque necessario assicurarsi di eseguire la normale due diligence per la sicurezza. Una delle operazioni da eseguire è testare la penetrazione delle applicazioni distribuite in Azure. Non eseguiamo i test di penetrazione sulla vostra applicazione per voi, ma comprendiamo che desiderate e avete bisogno di eseguire test sulle vostre applicazioni. Questo è un aspetto positivo, perché quando si migliora la sicurezza delle applicazioni è possibile rendere più sicuro l'intero ecosistema di Azure.
A partire dal 15 giugno 2017, Microsoft non richiede più la pre-approvazione per eseguire un test di penetrazione sulle risorse di Azure. Questo processo interessa esclusivamente Microsoft Azure e non è applicabile ad alcun altro servizio Microsoft Cloud.
Importante
Anche se la notifica a Microsoft delle attività di test di penetrazione non è più necessaria, i clienti devono comunque rispettare le Regole di Coinvolgimento per i Test di Penetrazione Unificati di Microsoft Cloud.
I test standard che è possibile eseguire includono:
- Test sugli endpoint per individuare le principali 10 vulnerabilità del progetto di sicurezza delle applicazioni web aperte (OWASP)
- Test con dati casuali degli endpoint
- Port scanning degli endpoint
Un tipo di test di penetrazione che non è possibile compiere è qualsiasi tipo di attacco Denial of Service (DoS). Questo test include l'avvio di un attacco DoS stesso o l'esecuzione di test correlati che potrebbero determinare, dimostrare o simulare qualsiasi tipo di attacco DoS.
Annotazioni
È possibile simulare attacchi solo usando partner di test approvati da Microsoft:
- BreakingPoint Cloud: generatore di traffico self-service in cui i clienti possono generare traffico sugli endpoint pubblici abilitati per protezione DDoS per le simulazioni.
- Red Button: collaborare con un team dedicato di esperti dove si può simulare scenari di attacco DDoS reali in un ambiente controllato.
- Red Wolf: provider di test DDoS self-service o guidato con controllo in tempo reale.
Per altre informazioni su questi partner di simulazione, vedere Test con partner di simulazione.
Passaggi successivi
- Altre informazioni sulle regole di coinvolgimento dei test di penetrazione.