Penetrationstests

Penetrationstests für Ihre Anwendungen sind ein wichtiger Bestandteil der Ausführung auf Azure. Sie benötigen dafür keine vorherige Genehmigung von Microsoft, müssen sich aber an die veröffentlichten Regeln halten. Dieser Artikel fasst diese Regeln zusammen und weist Sie auf die autorisierenden Quellen hin.

Ab dem 15. Juni 2017 erfordert Microsoft keine Vorabgenehmigung mehr, um einen Penetrationstest für Azure-Ressourcen durchzuführen. Dieser Prozess bezieht sich nur auf Microsoft Azure und ist nicht auf andere Microsoft Cloud-Dienste anwendbar.

Wer testen kann

Sie können Penetrationstests für Azure Ressourcen durchführen, die Sie besitzen. Dritte (z. B. verwaltete Sicherheitsdienstleister, Beratungsfirmen und rote Teams) können auch testen, sofern sie vom Ressourcenbesitzer explizit schriftlich genehmigt wurden. Dokumentieren Sie diese Autorisierung in Ihrem Servicevertrag, bevor alle Tests beginnen. Microsoft erteilt dem Kunden keine Autorisierung.

Wenn Sie Azure als source der Testaktivität verwenden (z. B. das Ausführen von Stifttests oder Red-Team-Tools von Azure VMs oder Funktionen für an anderer Stelle gehostete Systeme), gilt das ROE weiterhin für Sie, und Ihre Nutzung von Azure bleibt Ihren Abonnementbedingungen unterliegen. Das ROE verbietet insbesondere die Verwendung von Microsoft-Dienste zum Durchführen von Phishing- oder anderen Social Engineering-Angriffen gegen andere.

Zulässige Tests

Sie können Penetrationstests für Azure gehostete Anwendungen und Dienste ohne vorherige Genehmigung durchführen. Beispiele sind:

• Ihre Endpunkte, die auf virtuellen Azure-Computern gehostet werden
• Azure App Service-Anwendungen (Web-Apps, API-Apps, Mobile Apps)
• Azure-Funktionen und API-Endpunkte
• Azure-Websites
• Alle anderen Azure-Dienste, die Sie besitzen oder über eine explizite Autorisierung zum Testen der bereitgestellten Ressourcen verfügen

Zu den Standardtests, die Sie ausführen können, gehören:

• Testet auf Ihren Endpunkten, um die 10 wichtigsten Sicherheitsanfälligkeiten von Open Web Application Security Project (OWASP) aufzudecken
• Dynamische Anwendungssicherheitstests (DAST) Ihrer Webanwendungen und APIs
• Fuzz-Tests für Ihre Endpunkte
• Port-Scan Ihrer Endpunkte

Diese Liste ist illustrativ, nicht erschöpfend. Die Einsatzregeln sind die maßgebliche Quelle dafür, was zulässig ist.

Das ROE ermutigt außerdem ausdrücklich zu Aktivitäten wie dem Erstellen von Testkonten oder Testmandanten für konto- oder mandantenübergreifende Testszenarien, dem Erzeugen von Datenverkehr, um die Lastspitzenkapazität innerhalb Ihrer eigenen Anwendungen zu testen, dem Testen der Sicherheitsüberwachungs- und Erkennungssysteme Ihres Mandanten, dem Bewerten von Richtlinien für den bedingten Zugriff oder für Intune Mobile Application Management (MAM), dem Versuch, aus gemeinsam genutzten Dienstcontainern wie Azure Websites oder Azure Functions auszubrechen (mit verantwortungsvoller Offenlegung und sofortiger Einstellung bei Erfolg), sowie dem Versuch, die Grenzen von KI-Systemen zu durchbrechen.

Rote Teamaktivitäten

Red-Team-Einsätze gegen Ihre eigenen Azure-Ressourcen (oder die eines Kunden, mit ausdrücklicher schriftlicher Genehmigung) unterliegen denselben ROE. Innerhalb des autorisierten Gültigkeitsbereichs listet der ROE nicht auf, welche gegnerischen Techniken zulässig sind, sodass der Kontrolltext die Liste der verbotenen Aktivitäten ist. Achten Sie besonders auf diese Einschränkungen, die sich direkt auf red-team tradecraft auswirken:

• Sie können keine Anmeldeinformationen oder andere geheime Schlüssel verwenden, darauf zugreifen oder abrufen, die nicht Ihr eigenes sind – einschließlich öffentlich zugänglicher Anmeldeinformationen. In Ihrer eigenen Umgebung ist es in Ordnung, Konten anzugreifen, die Ihnen gehören; die Wiederverwendung von Anmeldedaten Dritter ist nicht zulässig.
• Wenn Sie während eines Tests eine Sicherheitsanfälligkeit in Microsoft Onlinedienste entdecken, müssen Sie sie beenden und über das Microsoft Security Response Center (MSRC) melden. Post-Exploit-Aktionen gegen Microsoft-Ressourcen — einschließlich der Auflistung interner Netzwerke, des Auslesens von Geheimnissen, des Ausführens zusätzlichen Codes, lateraler Bewegungen oder des Pivotings über den ursprünglichen Machbarkeitsnachweis hinaus — sind verboten.
• DDoS-Tests sind unter allen Umständen verboten. Verwenden Sie stattdessen die unten aufgeführten DDoS-Simulationspartner.
• Netzwerkintensive fuzzing oder automatisierte Tests, die übermäßigen Datenverkehr generieren, sind nicht zulässig.

Informationen zum KI-spezifischen Red Teaming für Azure AI-Workloads (einschließlich Azure OpenAI- und Microsoft Foundry-Bereitstellungen) finden Sie unter Planning red teaming for large language models (LLMs) and their applications sowie in der Microsoft AI red team training series.

Verbotene Tests

Die folgenden Aktivitäten sind unabhängig von der Autorisierung nicht zulässig. Diese Liste ist illustrativ; roE ist die autoritative Quelle.

• Denial of Service (DoS)-Tests beliebiger Art, einschließlich Tests, die DoS bestimmen, demonstrieren oder simulieren. DDoS-Angriffe sind unter allen Umständen streng verboten.
• Zugriff auf, Scannen oder Testen von Azure-Mandanten, Systemen, Protokollen, Daten oder Speicherkonten, die Sie nicht besitzen oder für die Sie keine ausdrückliche Testgenehmigung haben.
• Verwenden, Zugreifen auf oder Abrufen von Anmeldeinformationen oder anderen geheimen Schlüsseln, die nicht Ihre eigenen sind.
• Netzwerkintensives Fuzzing oder automatisierte Tests, die übermäßig viel Datenverkehr erzeugen.
• Phishing- oder Social Engineering-Angriffe, die auf Microsoft Mitarbeiter abzielen oder Microsoft-Dienste (einschließlich Azure) verwenden, um Phishing oder Social Engineering gegen andere durchzuführen.
• Aktionen nach der Kompromittierung oder nach dem Exploit gegen Microsoft Onlinedienste über den anfänglichen Konzeptnachweis hinaus – z. B. Aufzählen interner Netzwerke, Dumpinggeheimnisse, Ausführen zusätzlicher Code, Lateralbewegung oder Pivoting.

DDoS-Simulationstests

Wenn Sie Ihre DDoS-Resilienz testen müssen, können Sie von Microsoft genehmigte Simulationspartner verwenden. Diese Partner bieten kontrollierte DDoS-Simulationsdienste, die nicht gegen die Penetrationstestregeln verstoßen:

• BreakingPoint Cloud: Ein Self-Service-Datenverkehrsgenerator, bei dem Ihre Kunden Datenverkehr für DDoS Protection-fähige öffentliche Endpunkte für Simulationen generieren können.
• MazeBolt: Die RADAR-Plattform™ identifiziert und ermöglicht die Beseitigung von DDoS-Schwachstellen – proaktiv und ohne Unterbrechung des Geschäftsbetriebs.
• Rote Schaltfläche: Arbeiten Sie mit einem dedizierten Team von Experten zusammen, um reale DDoS-Angriffsszenarien in einer kontrollierten Umgebung zu simulieren.
• RedWolf: Ein Selbstbedienungs- oder geführter DDoS-Testanbieter mit Echtzeitsteuerung.

Weitere Informationen zu diesen Simulationspartnern finden Sie unter Tests mit Simulationspartnern.

Wenn Ihr Testvorgang gekennzeichnet ist

Azure führt automatisierte Missbrauchserkennung für ausgehenden und eingehenden Datenverkehr aus. Legitime Tests werden gelegentlich gekennzeichnet, und der ROE stellt fest, dass Microsoft nach eigenem Ermessen die laufende Aktivität unterbrechen kann, unabhängig davon, ob es sich um einen gültigen Test handelt. Wenn Sie eine Missbrauchsbenachrichtigung für Aktivitäten erhalten, die dem ROE entsprechen, reagieren Sie auf die Benachrichtigung mit Ihrer Kundenautorisierung und eine Beschreibung der In-Scope-Aktivität. Das Bereithalten von Autorisierungsdokumenten in leicht zugänglicher Form verkürzt diesen Prozess erheblich.

Nächste Schritte

• Überprüfen Sie die Microsoft Cloud Unified Penetration Testing Rules of Engagement.
• Melden Sie sicherheitsrelevante Sicherheitsrisiken, die beim Testen beim Microsoft Security Response Center erkannt wurden.