Teste de penetração
Um dos benefícios do uso do Azure para implantação e testes de aplicativos é que você pode criar rapidamente ambientes. Você não precisa se preocupar sobre requisição, aquisição e "posicionamento no rack e empilhamento" do seu próprio hardware local.
Criar ambientes rapidamente é ótimo, mas você ainda precisará executar a segurança normal com o devido cuidado. Uma das coisas que você precisa fazer é o teste de penetração para os aplicativos que implantar no Azure. Não realizamos testes de penetração em seu aplicativo para você, mas entendemos que você deseja e precisa realizar testes em seus próprios aplicativos. Isso é uma boa coisa, porque quando você aumenta a segurança de seus aplicativos, ajuda a tornar todo o ecossistema do Azure mais seguro.
Desde 15 de junho de 2017, a Microsoft não exige aprovação prévia para realizar testes de penetração com base nos recursos do Azure. Esse processo só está relacionado ao Microsoft Azure e não se aplica a outro serviço do Microsoft Cloud.
Importante
Embora a notificação da Microsoft da caneta as atividades de teste não é mais necessário clientes ainda devem estar de acordo com o Microsoft nuvem unificado penetração teste regras.
Os testes padrão que você pode executar incluem:
- Testes em seus pontos de extremidade para revelar as 10 maiores vulnerabilidades do OWASP (Projeto de Segurança de Aplicativo Web Aberto)
- Teste de fuzzing de seus pontos de extremidade
- Exame de portas de seus pontos de extremidade
Um tipo de teste de penetração que você não pode executar é o tipo de ataque DoS (Ataque de Negação de Serviço). Isso inclui iniciar um ataque DoS em si ou a realização de testes relacionados que podem determinar, demonstrar ou simular qualquer tipo de ataque DoS.
Observação
Você só pode simular ataques usando nossos parceiros de teste aprovados pela Microsoft:
- BreakingPoint Cloud: um gerador de tráfego de autoatendimento no qual os clientes podem gerar tráfego contra os pontos de extremidade públicos habilitados para Proteção contra DDoS para fins de simulação.
- Red Button: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
- RedWolf um provedor de testes DDoS guiado ou de autoatendimento com controle em tempo real.
Para saber mais sobre esses parceiros de simulação, consulte testes com parceiros de simulação.
Próximas etapas
- Saiba mais sobre as Regras de participação do teste de penetração.