Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
使用 Azure 进行应用程序测试和部署的一个优点是可快速创建环境。 你不必担心如何请求、获取和安装自己的本地硬件。
快速创建环境非常出色,但仍需要确保进行正常的安全尽职调查。 你可能想要执行的作之一是渗透测试在 Azure 中部署的应用程序。 我们不会为你执行应用程序的渗透测试,但我们确实明白,你希望并需要在自己的应用程序中执行测试。 这是一件好事,因为当你增强应用程序的安全性时,有助于使整个 Azure 生态系统更安全。
由于此类测试可能与实际攻击不区分,因此客户只有在事先获得客户支持批准后才能进行渗透测试至关重要。 渗透测试必须按照我们的条款和条件进行。 渗透测试请求应提前7天提交。 若要了解详细信息或启动渗透测试,请下载 渗透测试审批表单,然后联系 客户支持。
重要
请求渗透测试应至少提前 7 天提交通知,客户还必须遵守 Microsoft Cloud Unified Penetration Testing Rules of Engagement。
允许的测试
可以在未经事先批准的情况下对自己的 Azure 托管应用程序和服务执行渗透测试。 这包括测试:
- 你的托管在 Azure 虚拟机上的终结点
- Azure 应用服务应用程序(Web 应用、API 应用、移动应用)
- Azure Functions 和 API 终结点
- Azure 网站
- 您拥有或具有明确授权测试已部署资源的任何其他 Azure 服务。
可以执行的标准测试包括:
- 对端点进行测试,以发现 Open Web Application Security Project (OWASP) 前 10 个漏洞
- Web 应用程序和 API 的动态应用程序安全测试 (DAST)
- 端点的模糊测试
- 终结点的端口扫描
禁止的测试
无法执行的笔测试类型之一是拒绝服务(DoS)攻击。 此测试包括启动 DoS 攻击本身,或执行可能确定、演示或模拟任何类型的 DoS 攻击的相关测试。
DDoS 模拟测试
如果需要测试 DDoS 复原能力,可以使用Microsoft批准的模拟合作伙伴。 这些合作伙伴提供未违反渗透测试规则的受控 DDoS 模拟服务:
- BreakingPoint Cloud:自助服务流量生成器,客户可在其中针对启用了 DDoS 保护的公共终结点生成流量,用于模拟。
- 红色按钮:与专门的专家团队协作,在受控环境中模拟真实 DDoS 攻击方案。
- RedWolf:具有实时控制的自助服务或引导式 DDoS 测试提供程序。
若要了解有关这些模拟合作伙伴的详细信息,请参阅 使用模拟合作伙伴进行测试。
后续步骤
- 详细了解 渗透测试参与规则。