Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одно из преимуществ использования Azure для развертывания и тестирования приложений — возможность быстро создавать среды. Вам не нужно беспокоиться о подаче заявок, "приобретении и настройке" собственного локального оборудования.
Быстрое создание сред отличное, но вам по-прежнему необходимо убедиться, что вы выполняете обычную проверку безопасности. Одним из способов, которые вы, вероятно, хотите сделать, является тестирование на проникновение приложений, которые вы развертываете в Azure. Мы не выполняем тестирование на проникновение вашего приложения, но мы понимаем, что вы хотите и должны выполнять тестирование на собственных приложениях. Это хорошо, так как при повышении безопасности приложений вы помогаете сделать всю экосистему Azure более безопасной.
По состоянию на 15 июня 2017 г. корпорация Майкрософт больше не требует предварительного утверждения для проведения теста на проникновение по ресурсам Azure. Этот процесс касается только Microsoft Azure и не применяется к остальным облачным службам Майкрософт.
Это важно
Уведомление Microsoft о проведении пентестов больше не требуется, однако клиенты всё равно должны соблюдать правила тестирования на проникновение в Microsoft Cloud.
Стандартные тесты, которые можно выполнить, включают:
- Тестирование ваших конечных точек для обнаружения 10 основных уязвимостей по версии Проекта по безопасности веб-приложений (OWASP).
- нечеткое тестирование конечных точек;
- сканирования портов конечных точек;
Один из типов пентестов, который нельзя выполнить, — это атака типа отказ в обслуживании (DoS). Этот тест включает в себя инициирование атаки DoS или выполнение связанных тестов, которые могут определять, продемонстрировать или имитировать любой тип атаки DoS.
Замечание
Вы можете имитировать атаки только с помощью утвержденных партнеров по тестированию Майкрософт:
- BreakingPoint Cloud: сервис для самостоятельного генерации трафика, где клиенты могут создавать трафик для общедоступных конечных точек с поддержкой защиты от DDoS-атак для моделирования.
- Красная кнопка: обратитесь к выделенной группе экспертов для имитации сценариев атак DDoS в управляемой среде.
- RedWolf самостоятельно или управляемый поставщик тестирования DDoS с помощью управления в режиме реального времени.
Дополнительные сведения об этих партнерах по имитации см. в статье о тестировании с помощью партнеров по имитации.
Дальнейшие шаги
- Дополнительные сведения о правилах взаимодействия при тестировании на проникновение.