Test di penetrazione

Uno dei vantaggi che si ottengono usando Azure per il test e la distribuzione delle applicazioni consiste nella creazione rapida degli ambienti. Non è necessario preoccuparsi di requisiti, acquisizione e "racking e stacking" dell'hardware locale.

La creazione rapida di ambienti è ottimale, ma è comunque necessario assicurarsi di eseguire la normale due diligence per la sicurezza. È probabile che si voglia eseguire uno dei test di penetrazione delle applicazioni distribuite in Azure. Non si eseguono test di penetrazione dell'applicazione, ma si capisce che si desidera eseguire test sulle proprie applicazioni. Questo è un aspetto positivo, perché quando si migliora la sicurezza delle applicazioni è possibile rendere più sicuro l'intero ecosistema di Azure.

A partire dal 15 giugno 2017, Microsoft non richiede più alcuna approvazione preventiva per condurre un test di penetrazione su risorse di Azure. Questo processo interessa esclusivamente Microsoft Azure e non è applicabile ad alcun altro servizio Microsoft Cloud.

Importante

Anche se la notifica dei test di penetrazione Microsoft non è più necessaria, i clienti devono comunque conformarsi alle Regole unificate di partecipazione ai test di penetrazione di Microsoft Cloud.

I test standard che è possibile eseguire includono:

• Test sugli endpoint per scoprire le prime 10 vulnerabilità OWASP (Open Web Application Security Project)
• Test con dati casuali degli endpoint
• Port scanning degli endpoint

Un tipo di test penna che non è possibile eseguire è un tipo di attacco Denial of Service (DoS). Questo test include l'avvio di un attacco DoS stesso o l'esecuzione di test correlati che potrebbero determinare, dimostrare o simulare qualsiasi tipo di attacco DoS.

Nota

È possibile simulare solo gli attacchi usando i partner di test approvati da Microsoft:

• BreakingPoint Cloud: generatore di traffico self-service in cui i clienti possono generare traffico contro gli endpoint pubblici abilitati per la protezione DDoS per le simulazioni.
• Pulsante rosso: collaborare con un team dedicato di esperti per simulare scenari di attacco DDoS reali in un ambiente controllato.
• Red Wolf un provider di test DDoS self-service o guidato con controllo in tempo reale.

Per altre informazioni su questi partner di simulazione, vedere Test con i partner di simulazione.

Passaggi successivi

• Altre informazioni sulle regole di test di penetrazione di Engagement.