使用 Azure 进行应用程序测试和部署的一个优点是可快速创建环境。 你不必担心如何请求、获取和安装自己的本地硬件。
快速创建环境非常出色,但仍需要确保进行正常的安全尽职调查。 你可能想要执行的作之一是渗透测试在 Azure 中部署的应用程序。 我们不会为你执行应用程序的渗透测试,但我们确实明白,你希望并需要在自己的应用程序中执行测试。 这是一件好事,因为当你增强应用程序的安全性时,有助于使整个 Azure 生态系统更安全。
由于此类测试可能与实际攻击不区分,因此客户只有在事先获得客户支持批准后才能进行渗透测试至关重要。 渗透测试必须按照我们的条款和条件进行。 渗透测试请求应提前7天提交。 若要了解详细信息或启动渗透测试,请下载 渗透测试审批表单,然后联系 客户支持。
重要
请求渗透测试应至少提前 7 天提交通知,客户还必须遵守 Microsoft Cloud Unified Penetration Testing Rules of Engagement。
可以执行的标准测试包括:
- 对端点进行测试,以发现 Open Web Application Security Project (OWASP) 前 10 个漏洞
- 端点的模糊测试
- 终结点的端口扫描
无法执行的笔测试类型之一是拒绝服务(DoS)攻击。 此测试包括启动 DoS 攻击本身,或执行可能确定、演示或模拟任何类型的 DoS 攻击的相关测试。
注释
只能使用Microsoft批准的测试合作伙伴模拟攻击:
- BreakingPoint Cloud:自助服务流量生成器,客户可在其中针对启用了 DDoS 保护的公共终结点生成流量,用于模拟。
- 红色按钮:与专门的专家团队协作,在受控环境中模拟真实 DDoS 攻击方案。
- RedWolf 是具有实时控制的自助服务或引导式 DDoS 测试提供程序。
若要了解有关这些模拟合作伙伴的详细信息,请参阅 使用模拟合作伙伴进行测试。
后续步骤
- 详细了解 渗透测试参与规则。