Penetratietesten

Een van de voordelen van het gebruik van Azure voor het testen en implementeren van toepassingen is dat u snel omgevingen kunt maken. U hoeft zich geen zorgen te maken over het opeist, verkrijgen en 'racken en stapelen' van uw eigen on-premises hardware.

Snel omgevingen maken is geweldig, maar u moet er nog steeds voor zorgen dat u uw normale beveiligingsonderzoek uitvoert. Een van de dingen die u waarschijnlijk wilt doen, is de penetratietest van de toepassingen die u in Azure implementeert. We voeren geen penetratietests van uw toepassing voor u uit, maar we begrijpen wel dat u tests wilt en moet uitvoeren op uw eigen toepassingen. Dat is een goede zaak, want wanneer u de beveiliging van uw toepassingen verbetert, helpt u het hele Azure-ecosysteem veiliger te maken.

Sinds 15 juni 2017 heeft Microsoft vooraf geen goedkeuring meer nodig om een penetratietest uit te voeren voor Azure-resources. Dit proces is alleen gerelateerd aan Microsoft Azure en is niet van toepassing op andere Microsoft Cloud Service.

Belangrijk

Hoewel het niet langer nodig is om Microsoft op de hoogte te stellen van activiteiten voor pentests, moeten klanten nog steeds voldoen aan de Microsoft Cloud Unified Penetration Testing Rules of Engagement.

Standaardtests die u kunt uitvoeren, zijn onder andere:

• Test op uw eindpunten om de top 10 beveiligingsproblemen van Open Web Application Security Project (OWASP) te ontdekken
• Fuzz-testen van uw eindpunten
• Poortscans van uw eindpunten

Een type pentest dat u niet kunt uitvoeren, is een DoS-aanval (Denial of Service). Deze test omvat het initiëren van een DoS-aanval zelf of het uitvoeren van gerelateerde tests die elk type DoS-aanval kunnen bepalen, demonstreren of simuleren.

Notitie

U mag aanvallen alleen simuleren met behulp van door Microsoft goedgekeurde testpartners:

• BreakingPoint Cloud: een selfserviceverkeersgenerator waarmee uw klanten verkeer kunnen genereren op basis van openbare eindpunten met DDoS Protection voor simulaties.
• Red Button: Werk samen met een speciaal team van experts om echte DDoS-aanvalsscenario's te simuleren in een gecontroleerde omgeving.
• RedWolf is een selfservice of begeleide DDoS-testprovider met realtime controle.

Zie Testen met simulatiepartners voor meer informatie over deze simulatiepartners.

Volgende stappen

• Meer informatie over de penetratietestregels voor betrokkenheid.