침투 테스트

애플리케이션 침투 테스트는 Azure 애플리케이션을 실행하는 데 중요한 부분입니다. Microsoft 사전 승인은 필요하지 않지만 게시된 규칙을 따라야 합니다. 이 문서에서는 이러한 규칙을 요약하고 신뢰할 수 있는 원본을 가리킵니다.

2017년 6월 15일부터 Microsoft는 더 이상 Azure 리소스에 대한 침투 테스트를 수행하기 위해 사전 승인이 필요하지 않습니다. 이 프로세스는 다른 Microsoft Cloud Service에 적용할 수 없고 Microsoft Azure에만 관련됩니다.

중요합니다

알림은 더 이상 필요하지 않지만 고객과 승인된 제3자는 Microsoft Cloud 통합 침투 테스트 규칙 준수해야 합니다. ROE(참여 규칙)는 신뢰할 수 있는 출처입니다. 이 문서는 요약입니다.

테스트할 수 있는 사람

소유하는 Azure 리소스에서 침투 테스트를 수행할 수 있습니다. 타사(예: 관리 보안 서비스 공급자, 컨설팅 회사 및 레드 팀)도 리소스 소유자로부터 명시적인 서면 권한 부여를 받은 경우 테스트할 수 있습니다. 테스트가 시작되기 전에 서비스 계약에서 해당 권한 부여를 문서화합니다. Microsoft 고객을 대신하여 권한 부여를 부여하지 않습니다.

테스트 작업의 source로 Azure 사용하는 경우(예: 다른 곳에서 호스트되는 시스템에 대해 Azure VM 또는 함수에서 펜 테스트 또는 레드 팀 도구 실행) ROE는 여전히 사용자에게 적용되며 Azure 사용은 구독 조건에 따라 유지됩니다. ROE는 특히 Microsoft 서비스 사용하여 다른 사람에 대한 피싱 또는 기타 사회 공학 공격을 수행하는 것을 금지합니다.

허용된 테스트

사전 승인 없이 Azure 호스팅된 애플리케이션 및 서비스에서 침투 테스트를 수행할 수 있습니다. 예는 다음과 같습니다.

  • Azure Virtual Machines에서 호스트되는 엔드포인트
  • Azure App Service 애플리케이션(Web Apps, API Apps, Mobile Apps)
  • Azure Functions 및 API 엔드포인트
  • Azure 웹 사이트
  • 배포된 리소스를 테스트하기 위해 사용자가 소유하거나 명시적 권한 부여가 있는 다른 Azure 서비스

수행할 수 있는 표준 테스트는 다음과 같습니다.

이 목록은 예시적이며 완전하지 않습니다. 참여 규칙은 허용되는 것에 대한 신뢰할 수 있는 출처입니다.

또한 ROE는 계정 간 또는 테넌트 간 테스트 시나리오를 위해 테스트 계정이나 평가판 테넌트를 생성하는 활동, 자체 애플리케이션 내에서 트래픽을 발생시켜 급증 처리 용량을 테스트하는 활동, 테넌트의 보안 모니터링 및 탐지 시스템을 테스트하는 활동, 조건부 액세스 또는 Intune 모바일 애플리케이션 관리(MAM) 정책을 평가하는 활동, Azure Websites 또는 Azure Functions와 같은 공유 서비스 컨테이너의 경계를 벗어나려는 시도(성공 시 책임 있는 공개를 하고 즉시 중단하는 것을 전제로 함), 그리고 AI 시스템의 경계를 벗어나려는 시도와 같은 활동을 명시적으로 권장합니다.

레드 팀 활동

귀하의 자체 Azure 리소스(또는 명시적인 서면 승인을 받은 고객의 리소스)를 대상으로 하는 레드팀 활동에는 동일한 ROE가 적용됩니다. 권한 있는 범위 내에서 ROE는 허용되는 악의적 기술을 열거하지 않으므로 제어 텍스트는 금지된 활동 목록입니다. 레드 팀 트레이드크래프트에 직접적인 영향을 미치는 이러한 제약 조건에 특히 주의하세요.

  • 공개적으로 유출된 자격 증명을 포함하여 사용자 고유가 아닌 자격 증명 또는 기타 비밀을 사용, 액세스 또는 검색할 수 없습니다. 사용자 고유의 환경에서 소유한 계정을 공격하는 것은 괜찮습니다. 타사 자격 증명을 다시 사용하는 것은 아닙니다.
  • 테스트 중에 Microsoft 온라인 서비스 취약성을 발견한 경우 MSRC(Microsoft 보안 대응 센터)를 통해 해당 취약성을 중지하고 보고해야 합니다. 내부 네트워크 열거, 비밀 정보 추출, 추가 코드 실행, 횡적 이동, 또는 초기 개념 검증을 넘어서는 피벗 수행을 포함한 Microsoft 자산에 대한 익스플로잇 이후의 행위는 금지됩니다.
  • DDoS 테스트는 모든 상황에서 금지됩니다. 대신 아래에 나열된 DDoS 시뮬레이션 파트너를 사용합니다.
  • 과도한 트래픽을 생성하는 네트워크 집약적 퍼지 또는 자동화된 테스트는 허용되지 않습니다.

Azure AI 워크로드(Azure OpenAI 및 Microsoft Foundry 배포 포함)에 대한 AI 관련 레드 팀 운영에 대해서는 대규모 언어 모델(LLM) 및 해당 애플리케이션에 대한 레드 팀 계획Microsoft AI 레드 팀 교육 시리즈를 참조하세요.

금지된 테스트

권한 부여와 관계없이 다음 활동은 허용되지 않습니다. 이 목록은 설명입니다. ROE 는 신뢰할 수 있는 출처입니다.

  • DoS를 결정, 시연 또는 시뮬레이트하는 테스트를 포함하여 모든 종류의 DoS(서비스 거부) 테스트입니다. DDoS 공격은 모든 상황에서 엄격히 금지됩니다.
  • 소유하지 않았거나 명시적으로 테스트 권한을 부여받지 않은 Azure 테넌트, 시스템, 로그, 데이터 또는 스토리지 계정에 액세스, 스캔 또는 테스트하는 행위.
  • 자신의 것이 아닌 자격 증명 또는 기타 비밀 정보를 사용, 접근 또는 가져오는 행위
  • 과도한 트래픽을 생성하는 네트워크 사용량이 많은 퍼징 또는 자동화된 테스트
  • Microsoft 직원을 대상으로 하는 피싱 또는 소셜 엔지니어링 공격 또는 Microsoft 서비스(Azure 포함)를 사용하여 다른 사용자에 대해 피싱 또는 사회 공학을 수행합니다.
  • 초기 개념 증명(PoC)을 넘어 Microsoft 온라인 서비스에 대해 수행되는 침해 이후 또는 익스플로잇 이후 행위(예: 내부 네트워크 열거, 비밀 정보 덤프, 추가 코드 실행, 수평 이동 또는 피벗팅)

DDoS 시뮬레이션 테스트

DDoS 복원력을 테스트해야 하는 경우 Microsoft에서 승인한 시뮬레이션 파트너를 사용할 수 있습니다. 이러한 파트너는 침투 테스트 규칙을 위반하지 않는 제어된 DDoS 시뮬레이션 서비스를 제공합니다.

  • BreakingPoint Cloud: 고객이 시뮬레이션을 위해 DDoS Protection 지원 퍼블릭 엔드포인트에 대해 트래픽을 생성할 수 있는 셀프 서비스 트래픽 생성기입니다.
  • MazeBolt: RADAR™ 플랫폼은 DDoS 취약성을 사전에 식별하고 제거하며 비즈니스 운영에 지장을 줄 수 없습니다.
  • 빨간색 단추: 전담 전문가 팀과 협력하여 제어된 환경에서 실제 DDoS 공격 시나리오를 시뮬레이션합니다.
  • RedWolf: 실시간 제어를 사용하는 셀프 서비스 또는 안내 DDoS 테스트 공급자입니다.

이러한 시뮬레이션 파트너에 대한 자세한 내용은 시뮬레이션 파트너와의 테스트를 참조하세요.

테스트 플래그가 지정된 경우

Azure는 아웃바운드 및 인바운드 트래픽에 대해 자동화된 악용 탐지를 수행합니다. 합법적인 테스트는 때때로 플래그가 지정되며, ROE는 Microsoft 유효한 테스트인지 여부에 관계없이 진행 중인 활동을 중단할 수 있다고 지적합니다. ROE를 준수하는 활동에 대한 남용 알림을 받는 경우 고객 권한 부여 및 범위 내 활동에 대한 설명을 사용하여 알림에 응답합니다. 권한 부여 문서에 쉽게 액세스할 수 있도록 유지하면 이 프로세스가 크게 단축됩니다.

다음 단계

  • Last updated on