Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Intrångstestning av dina program är en viktig del av att köra dem på Azure. Du behöver inte Microsoft förhandsgodkännande för att göra det, men du måste följa de publicerade reglerna. Den här artikeln sammanfattar dessa regler och pekar dig på de auktoritativa källorna.
Från och med den 15 juni 2017 kräver Microsoft inte längre förhandsgodkännande för att utföra ett intrångstest mot Azure-resurser. Den här processen gäller endast Microsoft Azure och tillämpas inte för andra tjänster från Microsoft Cloud.
Viktigt!
Meddelande krävs inte längre, men kunder och auktoriserade tredje parter måste följa Microsoft Cloud Enhetliga regler för intrångstestning. Reglerna för engagemang (ROE) är den auktoritativa källan; den här artikeln är en sammanfattning.
Vem kan testa
Du kan utföra intrångstester på Azure resurser som du äger. Tredje parter (till exempel leverantörer av hanterade säkerhetstjänster, konsultföretag och röda team) kan också testa, förutsatt att de har uttryckligt skriftligt tillstånd från resursägaren. Dokumentera auktoriseringen i ditt tjänstavtal innan testningen påbörjas. Microsoft beviljar inte auktorisering för kundens räkning.
Om du använder Azure som source av testaktiviteten (till exempel köra penntest eller red-team-verktyg från Azure virtuella datorer eller funktioner mot system som finns någon annanstans), gäller ROE fortfarande för dig och din användning av Azure fortfarande omfattas av dina prenumerationsvillkor. ROE:n förbjuder specifikt att använda Microsofts tjänster för att utföra nätfiske eller andra social engineering-attacker mot andra.
Tillåten testning
Du kan utföra intrångstester på Azure värdbaserade program och tjänster utan föregående godkännande. Exempel är:
- Dina slutpunkter som finns på virtuella Azure-datorer
- Azure App Service-applikationer (Webbappar, API-appar, Mobilappar)
- Azure Functions- och API-slutpunkter
- Azure webbplatser
- Andra Azure-tjänster där du äger eller har explicit auktorisering för att testa de distribuerade resurserna
Standardtester som du kan utföra är:
- Tester på dina slutpunkter för att upptäcka OWASP (Open Web Application Security Project) de 10 främsta säkerhetsriskerna
- DAST (Dynamic Application Security Testing) för dina webbprogram och API:er
- Fuzz-testning av dina ändpunkter
- Portgenomsökning av dina slutpunkter
Den här listan är illustrativ, inte uttömmande. Regler för engagemang är den auktoritativa källan för vad som är tillåtet.
ROE uppmuntrar också uttryckligen aktiviteter som att skapa testkonton eller utvärderingsklientorganisationer för scenarier för testning mellan konton eller flera klientorganisationer, generera trafik för att testa överbelastningskapacitet i dina egna program, testa klientorganisationens säkerhetsövervaknings- och identifieringssystem, utvärdera principer för hantering av villkorlig åtkomst eller Intune-hantering av mobilprogram (MAM), försöka bryta sig ur delade tjänstcontainrar som Azure Websites eller Azure Functions (med ansvarigt avslöjande och omedelbart upphörande vid framgång) och försök att bryta sig ur AI-systemgränser.
Red team-aktiviteter
Red-team-åtaganden mot dina egna Azure resurser (eller en kunds, med uttrycklig skriftlig auktorisering) styrs av samma ROE. Inom det auktoriserade omfånget specificerar ROE inte vilka angripartekniker som är tillåtna, så den styrande texten är listan över förbjudna aktiviteter. Var särskilt uppmärksam på dessa begränsningar, som direkt påverkar red-team tradecraft:
- Du kan inte använda, komma åt eller hämta autentiseringsuppgifter eller andra hemligheter som inte är dina egna – inklusive autentiseringsuppgifter som läckt ut offentligt. I din egen miljö är det bra att attackera konton som du äger. återanvändning av autentiseringsuppgifter från tredje part är inte det.
- Om du upptäcker en säkerhetsrisk i Microsoft online služby under ett test måste du stoppa och rapportera den via Microsoft Security Response Center (MSRC). Åtgärder efter exploatering mot Microsofts tillgångar – inklusive kartläggning av interna nätverk, dumpning av hemligheter, körning av ytterligare kod, lateral förflyttning eller pivotering utöver det inledande konceptbeviset – är förbjudna.
- DDoS-testning är under alla omständigheter förbjudet. Använd DDoS-simuleringspartners som anges nedan i stället.
- Nätverksintensiv fuzzing eller automatiserad testning som genererar överdriven trafik tillåts inte.
Information om AI-specifik red teaming för Azure AI-arbetsbelastningar (inklusive Azure OpenAI- och Microsoft Foundry-driftsättningar) finns i Planera red teaming för stora språkmodeller (LLM:er) och deras applikationer och i utbildningsserien Microsoft AI red team.
Otillåten testning
Följande aktiviteter tillåts inte oavsett auktorisering. Den här listan är illustrativ; ROE är den auktoritativa källan.
- DoS-testning (Denial of Service), inklusive tester som fastställer, demonstrerar eller simulerar DoS. DDoS-attacker är strängt förbjudna under alla omständigheter.
- Åtkomst till, genomsökning av eller testning av Azure-klientorganisationer, system, loggar, data eller lagringskonton som du inte äger eller inte har uttrycklig behörighet att testa.
- Använda, komma åt eller hämta autentiseringsuppgifter eller andra hemligheter som inte är dina egna.
- Nätverksintensiv fuzzing eller automatiserad testning som genererar överdriven trafik.
- Nätfiske eller sociala manipulationsattacker riktade mot Microsoft-anställda, eller användning av Microsoft-tjänster (inklusive Azure) för att genomföra nätfiske eller social manipulation mot andra.
- Åtgärder efter kompromettering eller exploatering mot Microsofts onlinetjänster utöver det inledande konceptbeviset – till exempel kartläggning av interna nätverk, extrahering av hemligheter, körning av ytterligare kod, sidledes förflyttning eller pivotering.
DDoS-simuleringstestning
Om du behöver testa din DDoS-motståndskraft kan du använda Microsoft-godkända simuleringspartners. Dessa partner tillhandahåller kontrollerade DDoS-simuleringstjänster som inte bryter mot reglerna för intrångstestning:
- BreakingPoint Cloud: En självbetjäningstrafikgenerator där dina kunder kan generera trafik mot DDoS Protection-aktiverade offentliga slutpunkter för simuleringar.
- MazeBolt: RADAR-plattformen™ identifierar kontinuerligt och möjliggör eliminering av DDoS-sårbarheter – proaktivt och utan avbrott i verksamheten.
- Röd knapp: Arbeta med ett dedikerat team med experter för att simulera verkliga DDoS-attackscenarier i en kontrollerad miljö.
- RedWolf: En DDoS-testleverantör med självbetjäning eller guidat läge och realtidskontroll.
Mer information om dessa simuleringspartner finns i testa med simuleringspartner.
Om testningen har flaggats
Azure kör automatisk identifiering av missbruk på utgående och inkommande trafik. Legitima tester flaggas ibland, och ROE noterar att Microsoft efter eget gottfinnande kan avbryta pågående aktivitet oavsett om det är ett giltigt test. Om du får en anmälan om missbruk om aktivitet som följer ROE, svarar du på anmälan med ditt kundgodkännande och en beskrivning av den aktivitet som omfattas. Att hålla auktoriseringsdokument lättillgängliga förkortar avsevärt den här processen.
Nästa steg
- Granska Microsoft Cloud Unified Penetration Testing Rules of Engagement.
- Rapportera säkerhetsrisker som upptäckts under testningen till Microsoft Security Response Center.