Test di penetrazionePenetration Testing

Uno dei vantaggi che si ottengono usando Azure per il test e la distribuzione delle applicazioni consiste nella creazione rapida degli ambienti.One of the benefits of using Azure for application testing and deployment is that you can quickly get environments created. Non è necessario richiedere, acquistare e installare il proprio hardware locale.You don’t have to worry about requisitioning, acquiring, and “racking and stacking” your own on-premises hardware.

È tuttavia necessario continuare ad applicare la normale due diligence in materia di sicurezza.This is great – but you still need to make sure you perform your normal security due diligence. Una delle operazioni che probabilmente si desidera eseguire è il test di penetrazione delle applicazioni distribuite in Azure.One of the things you likely want to do is penetration test the applications you deploy in Azure.

Forse si è già a conoscenza del fatto che Microsoft esegue il test di penetrazione dell'ambiente di Azure,You might already know that Microsoft performs penetration testing of our Azure environment. utile per ottenere miglioramenti in Azure.This helps drive Azure improvements.

Il test non viene penetrato per l'utente, ma si è consapevoli che è necessario eseguire il test delle applicazioni.We don’t penetration test your application for you, but we do understand that you will want and need to perform testing on your own applications. Questo è un aspetto positivo, perché quando si migliora la sicurezza delle applicazioni, è possibile rendere più sicuro l'intero ecosistema di Azure.That’s a good thing, because when you enhance the security of your applications you help make the entire Azure ecosystem more secure.

A partire dal 15 giugno 2017, Microsoft non richiede più la pre-approvazione per condurre un test di penetrazione sulle risorse di Azure.As of June 15, 2017, Microsoft no longer requires pre-approval to conduct a penetration test against Azure resources. I clienti che desiderano documentare formalmente i test di penetrazione previsti su Microsoft Azure sono invitati a compilare il modulo di notifica dei test di penetrazione sul servizio Azure.Customers who wish to formally document upcoming penetration testing engagements against Microsoft Azure are encouraged to fill out the Azure Service Penetration Testing Notification form. Questo processo interessa esclusivamente Microsoft Azure e non è applicabile ad alcun altro servizio Microsoft Cloud.This process is only related to Microsoft Azure, and not applicable to any other Microsoft Cloud Service.

Importante

Anche se la notifica dei test di penetrazione Microsoft non è più necessaria, i clienti devono comunque conformarsi alle Regole unificate di partecipazione ai test di penetrazione di Microsoft Cloud.While notifying Microsoft of pen testing activities is no longer required customers must still comply with the Microsoft Cloud Unified Penetration Testing Rules of Engagement.

I test standard che è possibile eseguire includono:Standard tests you can perform include:

Tra i tipi di test che non è possibile eseguire sono incluse tutte le tipologie di attacco Denial of Service (DoS),One type of test that you can’t perform is any kind of Denial of Service (DoS) attack. tra cui l'avvio di un attacco DoS vero e proprio o l'esecuzione di test correlati che possono determinare, dimostrare o simulare tutti i tipi di attacco DoS.This includes initiating a DoS attack itself, or performing related tests that might determine, demonstrate or simulate any type of DoS attack.

Passaggi successiviNext steps

  • Se si vuole documentare formalmente un imminente test di penetrazione per le applicazioni ospitate in Microsoft Azure, è possibile passare alle regole di engagement per il test di penetrazione e compilare il modulo di notifica di test.If you would like to formally document an upcoming penetration testing against your applications hosted in Microsoft Azure, head on over to the Penetration Testing Rules of Engagement and fill out the testing notification form.