Test di penetrazionePen Testing

Uno dei vantaggi che si ottengono usando Azure per il test e la distribuzione delle applicazioni consiste nella creazione rapida degli ambienti.One of the benefits of using Azure for application testing and deployment is that you can quickly get environments created. Non è necessario richiedere, acquistare e installare il proprio hardware locale.You don’t have to worry about requisitioning, acquiring, and “racking and stacking” your own on-premises hardware.

È tuttavia necessario continuare ad applicare la normale due diligence in materia di sicurezza.This is great – but you still need to make sure you perform your normal security due diligence. Una delle operazioni da eseguire è il test di penetrazione delle applicazioni distribuite in Azure.One of the things you need to do is penetration test the applications you deploy in Azure.

Forse si è già a conoscenza del fatto che Microsoft esegue il test di penetrazione dell'ambiente di Azure,You might already know that Microsoft performs penetration testing of our Azure environment. utile per ottenere miglioramenti in Azure.This helps drive Azure improvements.

Il test di penetrazione delle applicazioni non viene eseguito automaticamente, ma è ovvio che è auspicabile e necessario eseguirlo.We don’t pen test your application for you, but we do understand that you will want and need to perform pen testing on your own applications. Questo è positivo, perché quando si migliora la sicurezza delle applicazioni, l'intero ecosistema di Azure diventa più sicuro.That’s a good thing, because when you enhance the security of your applications, you help make the entire Azure ecosystem more secure.

Quando si esegue il test di penetrazione delle applicazioni, potrebbe sembrare un attacco a Microsoft.When you pen test your applications, it might look like an attack to us. I modelli di attacco vengono continuamente monitorati e, se necessario, verrà avviato un processo di risposta agli eventi imprevisti,We continuously monitor for attack patterns and will initiate an incident response process if we need to. ma l'attivazione di una risposta agli eventi imprevisti in seguito a un test di penetrazione basato sulla due diligence dell'utente non è utile a nessuno.It doesn’t help you and it doesn’t help us if we trigger an incident response due to your own due diligence pen testing.

Cosa fare?What to do?

Quando si è pronti per eseguire il test di penetrazione delle applicazioni ospitate in Azure, comunicarlo a Microsoft.When you’re ready to pen test your Azure-hosted applications, you have an option to let us know. Dopo avere ricevuto la notifica, Microsoft non eseguirà l'arresto in modo accidentale, ad esempio bloccando l'indirizzo IP da cui si esegue il test.Once notified, Microsoft will no inadvertently shut you down (such as blocking the IP address that you’re testing from). I test devono essere conformi alle condizioni relative ai test di penetrazione di Azure indicate in Microsoft Cloud Unified Penetration Testing Rules of Engagement (Regole di engagement per il test di penetrazione unificate di Microsoft Cloud).Your tests must conform to the Azure pen testing terms and conditions described in Microsoft Cloud Unified Penetration Testing Rules of Engagement.

I test standard che è possibile eseguire includono:Standard tests you can perform include:

Tra i tipi di test che non è possibile eseguire sono incluse tutte le tipologie di attacco Denial of Service (DoS),One type of test that you can’t perform is any kind of Denial of Service (DoS) attack. tra cui l'avvio di un attacco DoS vero e proprio o l'esecuzione di test correlati che possono determinare, dimostrare o simulare tutti i tipi di attacco DoS.This includes initiating a DoS attack itself, or performing related tests that might determine, demonstrate or simulate any type of DoS attack.

Passaggi successiviNext steps

  • Si è pronti a iniziare il test di penetrazione delle applicazioni ospitate in Microsoft Azure?Are you ready to get started with pen testing your applications hosted in Microsoft Azure? Se la risposta è sì, andare alla pagina Panoramica del test di penetrazione e fare clic sul pulsante per la creazione di una richiesta di test alla fine della pagina.If so, then head on over to the Penetration Test Overview page (and click the Create a Testing Request button at the bottom of the page.