Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Fazer testes de penetração das suas aplicações é uma parte importante para as executar no Azure. Não precisas da pré-aprovação da Microsoft para o fazer, mas tens de seguir as regras publicadas. Este artigo resume essas regras e aponta-o para as fontes autorizadas.
A partir de 15 de junho de 2017, a Microsoft não precisa mais de pré-aprovação para realizar um teste de penetração nos recursos do Azure. Este processo está apenas relacionado com o Microsoft Azure e não é aplicável a qualquer outro serviço Microsoft Cloud.
Importante
A notificação já não é obrigatória, mas os clientes e terceiros autorizados devem cumprir as Regras Unificadas de Engajamento de Testes de Penetração Microsoft Cloud. As regras de engajamento (ROE) são a fonte autorizada; Este artigo é um resumo.
Quem pode testar
Pode realizar testes de penetração nos recursos do Azure que possui. Terceiros (como fornecedores de serviços de segurança geridos, consultoras e equipas vermelhas) também podem testar, desde que tenham autorização escrita explícita do proprietário do recurso. Documente essa autorização no seu acordo de serviço antes de qualquer teste começar. A Microsoft não concede autorização em nome do cliente.
Se estiver a usar Azure como fonte da atividade de teste (por exemplo, executando ferramentas de pen-test ou red-team de Azure VMs ou Funções contra sistemas alojados noutro local), o ROE ainda se aplica a si, e o seu uso de Azure permanece sujeito aos termos da sua subscrição. O ROE proíbe especificamente o uso dos serviços Microsoft para realizar ataques de phishing ou outros ataques de engenharia social contra terceiros.
Testes permitidos
Pode realizar testes de penetração em aplicações e serviços alojados no Azure sem aprovação prévia. Os exemplos incluem:
- Os seus endpoints alojados em Máquinas Virtuais Azure
- Aplicações Serviço de Aplicações do Azure (Aplicações Web, API Apps, Mobile Apps)
- Funções do Azure e endereçamentos de API
- Sites do Azure
- Existem outros serviços Azure onde possuis ou tens autorização explícita para testar os recursos implementados
Os testes padrão que você pode realizar incluem:
- Testes em seus endpoints para descobrir as 10 principais vulnerabilidades do Open Web Application Security Project (OWASP)
- Testes Dinâmicos de Segurança de Aplicações (DAST) das suas aplicações web e APIs
- Teste difuso de seus endpoints
- Varredura de portas dos seus endpoints
Esta lista é ilustrativa, não exaustiva. As Regras de Engajamento são a fonte autorizada sobre o que é permitido.
O ROE também incentiva explicitamente atividades como a criação de contas de teste ou inquilinos de teste para cenários de teste entre contas ou entre inquilinos, gerar tráfego para testar a capacidade de surtos dentro das suas próprias aplicações, testar os sistemas de monitorização e deteção de segurança dos seus inquilinos, avaliar políticas de Acesso Condicional ou gestão de aplicações móveis Intune (MAM), tentar sair de containers de serviços partilhados como o Azure Websites ou Funções do Azure (com divulgação responsável e cessação imediata após o sucesso), e tentar ultrapassar os limites dos sistemas de IA.
Atividades da equipa vermelha
As intervenções de red-team contra os seus próprios recursos no Azure (ou os de um cliente, com autorização explícita por escrito) são regidas pelas mesmas ROE. Dentro do âmbito autorizado, o ROE não enumera quais as técnicas do adversário que são permitidas, pelo que o texto determinante é a lista de atividades proibidas. Preste especial atenção a estas restrições, que afetam diretamente a técnica das equipas vermelhas:
- Não pode usar, aceder ou recuperar credenciais ou outros segredos que não sejam seus — incluindo credenciais divulgadas publicamente. No seu próprio ambiente, atacar contas que possui é aceitável; Reutilizar credenciais de terceiros não é.
- Se descobrir uma vulnerabilidade nos serviços online da Microsoft durante um teste, deve parar e reportá-la através do Centro de Resposta de Segurança da Microsoft (MSRC). São proibidas ações pós-exploit contra ativos da Microsoft — incluindo fazer o levantamento de redes internas, extrair segredos, executar código adicional, efetuar movimentos laterais ou estender o ataque para além da prova de conceito inicial.
- O teste DDoS é proibido em todas as circunstâncias. Utilize os parceiros de simulação DDoS listados abaixo.
- Fuzzing intensivo em rede ou testes automatizados que geram tráfego excessivo não são permitidos.
Para exercícios de red teaming específicos de IA para cargas de trabalho do Azure AI (incluindo implementações do Azure OpenAI e do Microsoft Foundry), veja Planeamento de red teaming para grandes modelos de linguagem (LLMs) e as suas aplicações e a série de formação da equipa de red team de IA da Microsoft.
Testes proibidos
As seguintes atividades não são permitidas, independentemente da autorização. Esta lista é ilustrativa; o ROE é a fonte autorizada.
- Testes de Negação de Serviço (DoS) de qualquer tipo, incluindo testes que determinem, demonstram ou simulam DoS. Os ataques DDoS são estritamente proibidos em todas as circunstâncias.
- Aceder, analisar ou testar locatários, sistemas, registos, dados ou contas de armazenamento do Azure que não lhe pertencem ou para os quais não tem autorização explícita para efetuar testes.
- Usar, aceder ou recuperar credenciais ou outros segredos que não são teus.
- Fuzzing com utilização intensiva da rede ou testes automatizados que geram tráfego excessivo.
- Ataques de phishing ou engenharia social direcionados a funcionários da Microsoft, ou a utilização dos serviços Microsoft (incluindo o Azure) para realizar phishing ou engenharia social contra outros.
- Ações após o comprometimento ou após a exploração contra os serviços online da Microsoft para além da prova de conceito inicial — por exemplo, enumerar redes internas, extrair segredos, executar código adicional, efetuar movimentos laterais ou mudar de ponto de apoio.
Testes de simulação DDoS
Se precisar de testar a sua resiliência DDoS, pode usar parceiros de simulação aprovados pela Microsoft. Estes parceiros fornecem serviços controlados de simulação DDoS que não violam as regras de testes de penetração:
- BreakingPoint Cloud: Um gerador de tráfego self-service onde os seus clientes podem gerar tráfego contra endpoints públicos com proteção contra DDoS para simulações.
- MazeBolt: A plataforma RADAR™ identifica continuamente e permite a eliminação de vulnerabilidades DDoS — de forma proativa e sem qualquer perturbação nas operações empresariais.
- Botão vermelho: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
- RedWolf: Um prestador de serviços de teste para DDoS autónomo ou com assistência guiada, com controlo em tempo real.
Para saber mais sobre esses parceiros de simulação, consulte Testes com parceiros de simulação.
Se os seus testes estiverem assinalados
O Azure executa deteção automática de abusos no tráfego de saída e de entrada. Testes legítimos são ocasionalmente assinalados, e o ROE indica que a Microsoft pode, a seu critério, interromper a atividade em curso independentemente de ser ou não um teste válido. Se receber uma notificação de abuso relativa a uma atividade que cumpra as ROE, responda à notificação com a autorização do cliente e uma descrição da atividade abrangida. Manter os documentos de autorização facilmente acessíveis encurta significativamente este processo.
Próximos passos
- Consulte as Regras Unificadas de Participação da Microsoft Cloud para Testes de Penetração.
- Reporte vulnerabilidades de segurança descobertas durante os testes ao Centro de Resposta de Segurança da Microsoft.