Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Penetratietests voor uw toepassingen zijn een belangrijk onderdeel van het uitvoeren ervan op Azure. U hebt Microsoft goedkeuring niet nodig om dit te doen, maar u moet wel de gepubliceerde regels volgen. In dit artikel vindt u een overzicht van deze regels en verwijst u naar de gezaghebbende bronnen.
Vanaf 15 juni 2017 heeft Microsoft geen voorafgaande goedkeuring meer nodig om een penetratietest uit te voeren op Azure-resources. Dit proces is alleen gerelateerd aan Microsoft Azure, en is niet van toepassing op een andere Microsoft Cloud Service.
Belangrijk
Kennisgeving is niet meer vereist, maar klanten en geautoriseerde derden moeten voldoen aan de Microsoft Cloud Unified Penetration Testing Rules of Engagement. De regels van betrokkenheid (ROE) zijn de gezaghebbende bron; dit artikel is een samenvatting.
Wie kan testen
U kunt penetratietests uitvoeren op Azure resources die u bezit. Externe partijen (zoals beheerde beveiligingsserviceproviders, advieskantoren en rode teams) kunnen ook testen, mits ze expliciete schriftelijke autorisatie van de resource-eigenaar hebben. Documenteer die autorisatie in uw serviceovereenkomst voordat een test begint. Microsoft verleent geen autorisatie namens de klant.
Als u Azure gebruikt als de source van de testactiviteit (bijvoorbeeld het uitvoeren van pen-test of red-team tooling van Azure VM's of Functions op systemen die elders worden gehost), is de ROE nog steeds van toepassing op u en blijft het gebruik van Azure onderhevig aan uw abonnementsvoorwaarden. De ROE verbiedt het gebruik van Microsoft-services om phishing of andere social engineering-aanvallen tegen anderen uit te voeren.
Toegestane tests
U kunt penetratietests uitvoeren op Azure gehoste toepassingen en services zonder voorafgaande goedkeuring. Enkele voorbeelden:
- Uw eindpunten gehost op Azure Virtuele Machines
- Azure App Service-toepassingen (Web Apps, API Apps, Mobile Apps)
- Azure Functions en API-eindpunten
- Azure Websites
- Alle andere Azure-services waarvoor u de eigenaar bent of expliciete autorisatie hebt om de geïmplementeerde resources te testen
Standaardtests die u kunt uitvoeren zijn:
- Test op uw eindpunten om de top 10 beveiligingsproblemen van Open Web Application Security Project (OWASP) te ontdekken
- Dynamic Application Security Testing (DAST) van uw webtoepassingen en API's
- Fuzz-testen van uw eindpunten
- Poortscans van uw eindpunten
Deze lijst is illustratief, niet volledig. De regels van betrokkenheid is de gezaghebbende bron voor wat is toegestaan.
De ROE moedigt ook expliciet activiteiten aan, zoals het maken van testaccounts of proefomgevingen voor cross-account- of cross-tenanttestscenario’s, het genereren van verkeer om de piekcapaciteit binnen uw eigen toepassingen te testen, het testen van de beveiligingsbewakings- en detectiesystemen van uw tenant, het evalueren van beleid voor Voorwaardelijke toegang of van Intune-beleid voor mobiel applicatiebeheer (MAM), het proberen uit te breken uit gedeelde servicecontainers zoals Azure Websites of Azure Functions (met verantwoorde melding en onmiddellijke stopzetting zodra dit lukt), en het proberen de grenzen van AI-systemen te doorbreken.
Rode teamactiviteiten
Red-teamactiviteiten gericht tegen uw eigen Azure-resources (of die van een klant, met expliciete schriftelijke toestemming) vallen onder dezelfde ROE. Binnen het geautoriseerde bereik inventariseert de ROE niet welke kwaadwillende technieken zijn toegestaan, zodat de controletekst de lijst met verboden activiteiten is. Let vooral op deze beperkingen, die rechtstreeks van invloed zijn op red-team tradecraft:
- U kunt geen referenties of andere geheimen gebruiken, openen of ophalen die niet uw eigen geheimen zijn, inclusief referenties die openbaar zijn gelekt. Binnen uw eigen omgeving is het prima om accounts waarvan u eigenaar bent aan te vallen; het hergebruiken van inloggegevens van derden is niet.
- Als u tijdens een test een beveiligingsprobleem ontdekt in Microsoft onlineservices, moet u dit stoppen en rapporteren via de Microsoft Security Response Center (MSRC). Acties na exploitatie gericht tegen Microsoft-assets — zoals het inventariseren van interne netwerken, het buitmaken van geheimen, het uitvoeren van aanvullende code, laterale verplaatsing of pivoteren buiten de initiële proof of concept — zijn verboden.
- DDoS-tests zijn onder alle omstandigheden verboden. Gebruik in plaats daarvan de onderstaande DDoS-simulatiepartners.
- Netwerkintensieve fuzzing of geautomatiseerde tests die overmatig verkeer genereren, is niet toegestaan.
Zie voor AI-specifieke red teaming voor Azure AI-workloads (waaronder Azure OpenAI- en Microsoft Foundry-implementaties) Planning red teaming for large language models (LLMs) and their applications en de Microsoft AI red team training series.
Verboden testen
De volgende activiteiten zijn niet toegestaan, ongeacht autorisatie. Deze lijst is illustratief; de ROE is de gezaghebbende bron.
- DoS-tests (Denial of Service) van elk type, inclusief tests die DoS bepalen, demonstreren of simuleren. DDoS-aanvallen zijn onder alle omstandigheden strikt verboden.
- Toegang tot, scannen of testen van Azure tenants, systemen, logboeken, gegevens of opslagaccounts die u niet bezit of waarvoor u expliciete machtigingen hebt om te testen.
- Inloggegevens of andere geheime gegevens gebruiken, toegang verkrijgen tot of ophalen die niet van uzelf zijn.
- Netwerkintensieve fuzzing of geautomatiseerde tests die overmatig verkeer genereren.
- Phishing- of social engineering-aanvallen gericht op Microsoft werknemers of het gebruik van Microsoft-services (inclusief Azure) om phishing of social engineering uit te voeren tegen anderen.
- Acties na een compromittering of exploitatie tegen onlineservices van Microsoft, na het initiële proof-of-concept, bijvoorbeeld het inventariseren van interne netwerken, het bemachtigen van geheime gegevens, het uitvoeren van aanvullende code, laterale verplaatsing of pivoteren.
DDoS-simulatietests
Als u uw DDoS-tolerantie wilt testen, kunt u door Microsoft goedgekeurde simulatiepartners gebruiken. Deze partners bieden gecontroleerde DDoS-simulatieservices die niet in strijd zijn met de regels voor penetratietests:
- BreakingPoint Cloud: een selfserviceverkeersgenerator waarmee uw klanten verkeer kunnen genereren op openbare DDoS Protection-eindpunten voor simulaties.
- MazeBolt: Het RADAR-platform™ identificeert en maakt het mogelijk om DDoS-beveiligingsproblemen proactief en zonder onderbreking van bedrijfsactiviteiten te voorkomen.
- Rode knop: werk samen met een speciaal team van experts om echte DDoS-aanvalsscenario's in een gecontroleerde omgeving te simuleren.
- RedWolf: een selfservice- of begeleide DDoS-testprovider met realtime controle.
Zie testen met simulatiepartners voor meer informatie over deze simulatiepartners.
Als uw test wordt gemarkeerd
Azure voert automatische misbruikdetectie uit op uitgaand en binnenkomend verkeer. Legitieme tests worden af en toe gemarkeerd en de ROE merkt op dat Microsoft, naar eigen goeddunken, de actieve activiteit kan onderbreken, ongeacht of het een geldige test is. Als u een misbruikmelding ontvangt voor activiteiten die voldoen aan de ROE, reageert u op de melding met uw klantautorisatie en een beschrijving van de activiteiten binnen het bereik. Het gemakkelijk toegankelijk houden van autorisatiedocumenten verkort dit proces aanzienlijk.
Volgende stappen
- Bekijk de Microsoft Cloud Unified Penetration Testing Rules of Engagement.
- Beveiligingsproblemen melden die zijn gedetecteerd tijdens het testen naar de Microsoft Security Response Center.