アプリケーションのテストとデプロイに Azure を使用するメリットの 1 つが、環境をすばやく作成できることです。 オンプレミスのハードウェアの要求、取得、および “ラックとスタック” に関して心配する必要はありません。
環境を迅速に作成することは素晴らしいことですが、それでも通常のセキュリティデューデリジェンスを確実に実行する必要があります。 実行したいことの 1 つは、Azure にデプロイするアプリケーションの侵入テストです。 お客様のアプリケーションの侵入テストは行いませんが、お客様が独自のアプリケーションでテストを実行することを望み、実行する必要があることを理解しています。 アプリケーションのセキュリティを強化すると、Azure エコシステム全体のセキュリティが強化されるため、これは良いことです。
2017 年 6 月 15 日以降、Microsoft は Azure リソースに対する侵入テストを実施するための事前承認を必要としなくなりました。 このプロセスは Microsoft Azure にのみ関連するものであり、その他の Microsoft Cloud サービスには適用されません。
Von Bedeutung
侵入テスト活動を Microsoft に通知する必要はなくなりました が、お客様は引き続き Microsoft Cloud Unified 侵入テストのエンゲージメント ルールに準拠する必要があります。
実行できる標準テストには、次のものがあります。
- エンドポイントでテストして、Open Web Application Security Project(OWASP)の上位10の脆弱性を明らかにする
- ファジー テスト
- ポートのスキャン
実行できないペネトレーションテストの 1 つは、あらゆる種類の サービス拒否 (DoS) 攻撃です。 このテストには、DoS 攻撃自体の開始、または任意の種類の DoS 攻撃を決定、デモンストレーション、またはシミュレートする可能性のある関連テストの実行が含まれます。
注
攻撃をシミュレートできるのは、Microsoft が承認したテスト パートナーのみです。
- BreakingPoint Cloud: 顧客が DDoS Protection 対応のパブリック エンドポイントに対してトラフィックを生成してシミュレーションを行うことができるセルフサービス トラフィック ジェネレーターです。
- レッドボタン:専門家の専任チームと協力して、制御された環境で実際のDDoS攻撃シナリオをシミュレートします。
- RedWolf は、リアルタイム制御を備えたセルフサービスまたはガイド付き DDoS テスト プロバイダーです。
これらのシミュレーション パートナーの詳細については、「 シミュレーション パートナーによるテスト」を参照してください。
次のステップ
- ペネトレーション テストのエンゲージメント ルールの詳細については、こちらをご覧ください。