你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

渗透测试

使用 Azure 进行应用程序测试和部署的一个优点是可快速创建环境。 你不必担心如何请求、获取和安装自己的本地硬件。

快速创建环境很好，但仍需确保进行常规安全审慎调查。 你可能想要做的事情之一就是对部署在 Azure 中的应用程序进行渗透测试。 我们不会为你进行应用程序渗透测试，但我们理解你希望对自己的应用程序进行渗透测试，并且需要这样做。 这是一件好事，因为增强应用程序的安全性可帮助使整个 Azure 生态系统更加安全。

自 2017 年 6 月 15 日起，对于针对 Azure 资源进行的渗透测试，Microsoft 不再要求执行预批准流程。 本流程仅与 Microsoft Azure 相关，并不适用于任何其他 Microsoft 云服务。

重要

虽然参加渗透测试时无需再通知 Microsoft，客户仍须遵守 Microsoft 云统一渗透测试参与规则。

可以执行的标准测试包括：

• 对终结点进行测试，以发现开放 Web 应用程序安全项目 (OWASP) 的前 10 个漏洞
• 终结点的模糊测试
• 终结点的端口扫描

你不能执行的一类渗透测试是任何类型的拒绝服务 (DoS) 攻击。 此测试包括：自行发起 DoS 攻击，或者执行相关的测试，以便确定、演示或模拟任何类型的 DoS 攻击。

注意

只能使用 Microsoft 经过批准的测试合作伙伴模拟攻击：

• BreakingPoint Cloud：一个自助式流量生成器，客户可在其中针对已启用 DDoS 防护的公共终结点生成流量，以便进行模拟。
• Red Button：与专门的专家团队合作，在受控环境中模拟真实世界的 DDoS 攻击场景。
• RedWolf 是一个具有实时控制的自助服务或引导式 DDoS 测试提供程序。

若要详细了解这些模拟合作伙伴，请参阅与模拟合作伙伴一起测试。

后续步骤

• 详细了解渗透测试参与规则。