你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对应用程序进行渗透测试是在 Azure 上运行这些应用程序的重要组成部分。 无需Microsoft预先批准才能执行此操作,但确实需要遵循已发布的规则。 本文汇总了这些规则,并指向权威来源。
截至 2017 年 6 月 15 日,Microsoft不再需要预先批准对 Azure 资源进行渗透测试。 本流程仅与 Microsoft Azure 相关,并不适用于任何其他 Microsoft Cloud Service。
重要
不再需要通知,但客户和授权的第三方必须遵守Microsoft Cloud参与统一渗透测试规则。 参与规则(ROE)是权威来源:本文是摘要。
谁可以参加测试
你可以对你拥有的 Azure 资源进行渗透测试。 第三方(如托管安全服务提供商、咨询公司和红色团队)也可以进行测试,前提是他们已从资源所有者明确书面授权。 在开始任何测试之前,请在服务协议中记录授权。 Microsoft不会代表客户授予授权。
如果你使用 Azure 作为测试活动的 来源(例如,从 Azure VM 或 Functions 对托管在其他位置的系统运行渗透测试或红队工具),则 ROE 仍然适用于你,并且你对 Azure 的使用仍受你的订阅条款约束。 ROE 特别禁止使用Microsoft 服务对他人执行钓鱼或其他社会工程攻击。
允许的测试
可以在未经事先批准的情况下对Azure托管的应用程序和服务执行渗透测试。 示例包括:
- 托管在 Azure 虚拟机上的终结点
- Azure 应用服务应用程序(Web 应用、API 应用、移动应用)
- Azure Functions 和 API 终结点
- Azure 网站
- 您拥有或具有明确授权测试已部署资源的任何其他 Azure 服务。
可以执行的标准测试包括:
- 对您的端点进行测试,以发现 Open Web Application Security Project (OWASP) 十大漏洞
- Web 应用程序和 API 的动态应用程序安全测试 (DAST)
- 终结点的模糊测试
- 终结点的端口扫描
此列表具有说明性,并不详尽。 参与规则是判断哪些行为被允许的权威依据。
ROE 还明确鼓励开展以下活动,例如:为跨账户或跨租户测试场景创建测试账户或试用租户;生成流量,以测试您自己的应用程序的突增承载能力;测试租户的安全监控和检测系统;评估条件访问或 Intune 移动应用管理(MAM)策略;尝试突破共享服务容器的隔离(如 Azure 网站或 Azure Functions;如成功,应负责任地披露并立即停止);以及尝试突破 AI 系统边界。
红色团队活动
针对您自己的 Azure 资源(或客户的 Azure 资源,前提是已获得明确书面授权)开展的红队活动,同样受相同的 ROE 约束。 在授权范围内,ROE(交战规则)并未逐一列明允许哪些对抗方手段,因此应以禁止活动清单为准。 请特别注意以下这些约束条件,因为它们会直接影响红队的技战术。
- 不能使用、访问或检索不属于自己的凭据或其他机密,包括公开泄露的凭据。 在你自己的环境中,攻击你拥有的帐户是正常的;重用第三方凭据不是。
- 如果在测试期间发现Microsoft 联机服务中的漏洞,则必须停止并通过Microsoft 安全响应中心(MSRC)报告该漏洞。 禁止针对 Microsoft 资产实施后渗透操作,包括枚举内部网络、转储敏感信息、执行额外代码、进行横向移动,或在初始概念验证之外建立跳板进一步渗透。
- 在所有情况下都禁止进行 DDoS 测试。 请改用下面列出的 DDoS 模拟合作伙伴。
- 不允许产生过多流量的网络密集型模糊或自动测试。
有关针对 Azure AI 工作负载(包括 Azure OpenAI 和 Microsoft Foundry 部署)开展的 AI 专项红队演练,请参阅规划针对大型语言模型(LLM)及其应用程序的红队演练和Microsoft AI 红队培训系列。
禁止的测试
无论授权如何,都不允许进行以下活动。 此列表具有说明性; ROE 是权威来源。
- 任何类型的拒绝服务(DoS) 测试,包括确定、演示或模拟 DoS 的测试。 在所有情况下,都严格禁止 DDoS 攻击。
- 访问、扫描或测试你不拥有或未获得明确测试授权的 Azure 租户、系统、日志、数据或存储帐户。
- 使用、访问或检索不属于您自己的凭证或其他机密信息。
- 网络密集型的模糊测试,或会产生过多流量的自动化测试。
- 针对Microsoft员工的网络钓鱼或社交工程攻击,或使用Microsoft 服务(包括Azure)对他人执行钓鱼或社交工程。
- 在系统失陷后或成功利用漏洞后,针对 Microsoft 在线服务实施的、超出初始概念验证范围的操作,例如枚举内部网络、转储敏感信息、执行额外代码、横向移动或枢转。
DDoS 模拟测试
如果需要测试 DDoS 复原能力,可以使用Microsoft批准的模拟合作伙伴。 这些合作伙伴提供未违反渗透测试规则的受控 DDoS 模拟服务:
- BreakingPoint Cloud:自助服务流量生成器,客户可在其中针对启用了 DDoS 保护的公共终结点生成流量,用于模拟。
- MazeBolt:RADAR™ 平台持续识别和消除 DDoS 漏洞,主动且零中断业务运营。
- 红色按钮:与专门的专家团队协作,在受控环境中模拟真实 DDoS 攻击方案。
- RedWolf:具有实时控制的自助服务或引导式 DDoS 测试提供程序。
若要了解有关这些模拟合作伙伴的详细信息,请参阅 使用模拟合作伙伴进行测试。
如果您的测试被标记
Azure对出站和入站流量运行自动滥用检测。 合法测试有时也会被标记,且 ROE 中指出,Microsoft 可自行决定中断正在进行的活动,无论其是否属于有效测试。 如果您收到一则关于符合 ROE 的活动的滥用举报通知,请在回复该通知时提供客户授权以及对范围内活动的说明。 使授权文档易于访问大大缩短了此过程。
后续步骤
- 查看Microsoft Cloud统一渗透测试参与规则。
- 将测试期间发现的安全漏洞报告到 Microsoft 安全响应中心。