Testes de penetração
Uma das vantagens da utilização do Azure para testes e implementação de aplicações é que pode criar rapidamente ambientes. Não tem de se preocupar com a requisição, a aquisição e o "racking e empilhamento" do seu próprio hardware no local.
A criação rápida de ambientes é excelente, mas ainda precisa de se certificar de que executa a sua devida diligência de segurança normal. Uma das coisas que provavelmente pretende fazer é testar a penetração das aplicações que implementa no Azure. Não realizamos testes de penetração da sua aplicação por si, mas compreendemos que pretende e precisa de realizar testes nas suas próprias aplicações. Isso é uma coisa boa, porque quando melhora a segurança das suas aplicações, ajuda a tornar todo o ecossistema do Azure mais seguro.
Desde 15 de junho de 2017, a Microsoft já não exige pré-aprovação para realizar testes de penetração nos recursos do Azure. Este processo está apenas relacionado com o Microsoft Azure e não é aplicável a qualquer outro Serviço Cloud da Microsoft.
Importante
Embora já não seja necessário notificar a Microsoft sobre as atividades de teste da caneta, os clientes têm de estar em conformidade com as Regras de Interação de Testes de Penetração Unificadas da Microsoft Cloud.
Os testes padrão que pode realizar incluem:
- Testes nos seus pontos finais para descobrir as 10 principais vulnerabilidades do Open Web Application Security Project (OWASP)
- Testes de fuzzing dos pontos finais
- Análise de portas dos pontos finais
Um tipo de teste de caneta que não pode efetuar é qualquer tipo de ataque Denial of Service (DoS ). Este teste inclui iniciar um ataque DoS em si ou realizar testes relacionados que possam determinar, demonstrar ou simular qualquer tipo de ataque DoS.
Nota
Só pode simular ataques com parceiros de teste aprovados pela Microsoft:
- BreakingPoint Cloud: um gerador de tráfego self-service onde os seus clientes podem gerar tráfego em pontos finais públicos compatíveis com a Proteção de DDoS para simulações.
- Botão Vermelho: trabalhe com uma equipa dedicada de especialistas para simular cenários de ataque DDoS no mundo real num ambiente controlado.
- RedWolf um fornecedor de testes DDoS personalizado ou orientado com controlo em tempo real.
Para saber mais sobre estes parceiros de simulação, veja testar com parceiros de simulação.
Passos seguintes
- Saiba mais sobre as Regras de Interação dos Testes de Penetração.