Тестирование на проникновение

Тестирование на проникновение приложений является важной частью их работы на Azure. Вам не нужно предварительное утверждение Microsoft, но вам нужно соблюдать опубликованные правила. В этой статье приведены общие сведения об этих правилах и указываются на авторитетные источники.

По состоянию на 15 июня 2017 г. корпорация Майкрософт больше не требует предварительного утверждения для проведения теста на проникновение по ресурсам Azure. Этот процесс касается только Microsoft Azure и не применяется к остальным облачным службам Майкрософт.

Это важно

Уведомление больше не требуется, но клиенты и авторизованные сторонние стороны должны соответствовать Microsoft Cloud единым правилам тестирования на проникновение. Правила взаимодействия (ROE) являются авторитетным источником; Эта статья представляет собой сводку.

Кто может проверить

Тестирование на проникновение можно выполнять на Azure ресурсах, принадлежащих вам. Третьи лица (например, поставщики управляемых услуг безопасности, консалтинговые компании и красные команды) также могут проводить тестирование при наличии явного письменного разрешения от владельца ресурса. Задокументируйте авторизацию в соглашении об обслуживании перед началом тестирования. Microsoft не предоставляет авторизацию от имени клиента.

Если вы используете Azure в качестве источника деятельности по тестированию (например, запускаете инструменты для пентестов или red team с виртуальных машин Azure или из Azure Functions в отношении систем, размещенных в других средах), ROE по-прежнему распространяется на вас, а использование Azure по-прежнему регулируется условиями вашей подписки. ROE специально запрещает использование службы Майкрософт для фишинга или других атак социальной инженерии против других.

Разрешенное тестирование

Тестирование на проникновение можно выполнять на Azure размещенных приложениях и службах без предварительного утверждения. Вот некоторые примеры:

  • Конечные точки, размещенные на виртуальных машинах Azure
  • Приложения службы приложений Azure (веб-приложения, приложения API, мобильные приложения)
  • Функции Azure и конечные точки API
  • Веб-сайты Azure
  • Любые другие службы Azure, в которых вы владеете или имеете явную авторизацию для тестирования развернутых ресурсов

Стандартные тесты, которые можно выполнить, включают:

  • Тестирование ваших конечных точек для обнаружения 10 основных уязвимостей по версии Проекта по безопасности веб-приложений (OWASP).
  • Динамическое тестирование безопасности приложений (DAST) веб-приложений и API
  • Фазз-тестирование ваших эндпоинтов
  • Сканирование портов ваших оконечных устройств

Этот список иллюстрирует, а не является исчерпывающим. Правила участия — это авторитетный источник разрешенных действий.

ROE также прямо поощряет такие действия, как создание тестовых учетных записей или пробных тенантов для межучетных или межтенантных сценариев тестирования, генерацию трафика для проверки способности ваших приложений справляться с пиковыми нагрузками, тестирование систем мониторинга безопасности и обнаружения угроз в вашем тенанте, оценку политик Conditional Access или управления мобильными приложениями Intune (MAM), попытки выхода за пределы общих контейнеров служб, таких как Azure Websites или Функции Azure (при условии ответственного раскрытия информации и немедленного прекращения таких действий в случае успеха), а также попытки выйти за пределы границ систем ИИ.

Действия красной команды

Мероприятия red team в отношении ваших собственных ресурсов Azure (или ресурсов клиента при наличии явного письменного разрешения) регулируются теми же ROE. В рамках разрешённой области ROE не перечисляет, какие приёмы противника разрешены, поэтому определяющим текстом является перечень запрещённых действий. Обратите особое внимание на эти ограничения, которые непосредственно влияют на тактику и методы red team:

  • Вы не можете использовать, получать доступ к или извлекать учетные данные или другие секретные данные, которые вам не принадлежат, включая публично раскрытые учетные данные. В пределах вашей собственной среды допустимо атаковать учетные записи, которые принадлежат вам; повторно использовать учетные данные третьих лиц недопустимо.
  • Если во время теста вы обнаружите уязвимость в онлайн-службах Microsoft, необходимо немедленно прекратить тестирование и сообщить о ней через Центр реагирования Microsoft на проблемы безопасности (MSRC). Действия после эксплуатации уязвимости в отношении активов Microsoft, включая перечисление внутренних сетей, извлечение секретов, запуск дополнительного кода, латеральное перемещение или выход за пределы первоначального подтверждения концепции, запрещены.
  • Тестирование DDoS запрещено во всех обстоятельствах. Вместо этого используйте партнеры по имитации DDoS, перечисленные ниже.
  • Интенсивный сетевой фаззинг или автоматическое тестирование, создающие чрезмерный трафик, запрещены.

Сведения о редтиминге для рабочих нагрузок Azure AI, ориентированном на ИИ (включая развертывания Azure OpenAI и Microsoft Foundry), см. в статье Планирование редтиминга для больших языковых моделей (LLM) и их приложений и в серии обучающих материалов Microsoft по редтимингу для ИИ.

Запрещенное тестирование

Следующие действия не разрешены независимо от авторизации. Этот список иллюстрирует; ROE является авторитетным источником.

  • Тестирование типа "отказ в обслуживании" (DoS), включая тесты, определяющие, демонстрирующие или имитирующие DoS. Атаки DDoS строго запрещены во всех обстоятельствах.
  • Доступ к тенантам Azure, системам, журналам, данным или учетным записям хранения, которые вам не принадлежат и на тестирование которых у вас нет явного разрешения.
  • Использование, доступ или получение учетных данных или других секретов, которые не являются вашими собственными.
  • Фаззинг с высокой нагрузкой на сеть или автоматическое тестирование, создающее чрезмерный трафик.
  • Фишинговые или социальные инженерные атаки, направленные на сотрудников Microsoft или использование службы Майкрософт (включая Azure) для фишинга или социальной инженерии против других.
  • Действия после компрометации или эксплуатации уязвимости против онлайн-служб Microsoft, выходящие за рамки первоначального подтверждения концепции, например перечисление внутренних сетей, извлечение секретов, выполнение дополнительного кода, горизонтальное перемещение или пивотинг.

Тестирование моделирования DDoS

Если вам нужно проверить устойчивость DDoS, вы можете использовать утвержденных корпорацией Майкрософт партнеров по имитации. Эти партнеры предоставляют управляемые службы моделирования DDoS, которые не нарушают правила тестирования на проникновение:

  • BreakingPoint Cloud: сервис для самостоятельного генерации трафика, где клиенты могут создавать трафик для общедоступных конечных точек с поддержкой защиты от DDoS-атак для моделирования.
  • MazeBolt: платформа RADAR™ постоянно идентифицирует и позволяет устранять уязвимости DDoS — упреждающее и с нулевым нарушением бизнес-операций.
  • Красная кнопка: обратитесь к выделенной группе экспертов для имитации сценариев атак DDoS в управляемой среде.
  • RedWolf: самостоятельный или управляемый поставщик тестирования DDoS с помощью управления в режиме реального времени.

Дополнительные сведения об этих партнерах по имитации см. в статье о тестировании с помощью партнеров по имитации.

Если ваше тестирование помечено

Azure выполняет автоматическое обнаружение злоупотреблений при исходящем и входящего трафика. Законное тестирование иногда помечается, и roE отмечает, что Microsoft может, по своему усмотрению, прерывать действия, выполняемые независимо от того, является ли это допустимым тестом. Если вы получили уведомление о злоупотреблении относительно действий, которые соответствуют ROE, ответьте на это уведомление, приложив подтверждение полномочий клиента и описание действий, входящих в область охвата. Доступность документов авторизации значительно сокращает этот процесс.

Дальнейшие шаги