Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O teste de penetração de seus aplicativos é uma parte importante da execução deles em Azure. Você não precisa da pré-aprovação do Microsoft para fazê-lo, mas precisa seguir as regras publicadas. Este artigo resume essas regras e aponta você para as fontes autoritativas.
A partir de 15 de junho de 2017, a Microsoft não precisa mais de pré-aprovação para realizar um teste de penetração em relação aos recursos do Azure. Esse processo só está relacionado ao Microsoft Azure e não se aplica a outro serviço do Microsoft Cloud.
Importante
A notificação não é mais necessária, mas os clientes e terceiros autorizados devem cumprir as Regras de Engajamento para Testes de Penetração Unificados do Microsoft Cloud. As regras de participação (ROE) são a fonte autoritativa; este artigo é um resumo.
Quem pode testar
Você pode executar testes de penetração nos recursos do Azure que você possui. Terceiros (como provedores de serviços de segurança gerenciada, empresas de consultoria e equipes vermelhas) também podem testar, desde que tenham autorização por escrito explícita do proprietário do recurso. Documente essa autorização em seu contrato de serviço antes do início de qualquer teste. Microsoft não concede autorização em nome do cliente.
Se você estiver usando o Azure como a origem da atividade de teste (por exemplo, executando as ferramentas pen-test ou red-team direto das VMs ou do Functions em relação aos sistemas hospedados em outro lugar), o ROE ainda se aplicará a você, e seu uso do Azure continua sujeito aos termos da sua assinatura. O ROE proíbe especificamente o uso de serviços Microsoft para executar phishing ou outros ataques de engenharia social contra outras pessoas.
Teste permitido
Você pode executar testes de penetração em aplicativos e serviços hospedados em Azure sem aprovação prévia. Os exemplos incluem:
- Seus endpoints hospedados em Máquinas Virtuais do Azure
- Aplicativos do Serviço de Aplicativo do Azure (Aplicativos Web, Aplicativos de API, Aplicativos Móveis)
- Funções do Azure e pontos de extremidade de API
- Sites do Azure
- Qualquer outro serviço do Azure onde você possui ou tem autorização explícita para testar os recursos implantados
Os testes padrão que você pode executar incluem:
- Testes em suas interfaces para descobrir as 10 principais vulnerabilidades do OWASP (Open Web Application Security Project)
- DAST (Dynamic Application Security Testing) de seus aplicativos Web e APIs
- Teste de fuzzing dos seus pontos de extremidade
- Verificação de portas de seus pontos de extremidade
Esta lista é ilustrativa, não exaustiva. O Rules of Engagement é a fonte autoritativa para o que é permitido.
O ROE também incentiva explicitamente as atividades como criar contas de teste ou locatários de avaliação para cenários de teste entre contas ou entre locatários, gerar tráfego para testar a capacidade de lidar com picos em seus próprios aplicativos, testar os sistemas de monitoramento e detecção de segurança do seu locatário, avaliar as políticas de Acesso Condicional ou de gerenciamento de aplicativos móveis (MAM) do Intune, tentar escapar de contêineres de serviços compartilhados, como os Sites do Azure ou o Azure Functions (com a divulgação responsável e a interrupção imediata em caso de sucesso), além de tentar romper os limites dos sistemas de IA.
Atividades da equipe vermelha
Os engajamentos da equipe vermelha em relação aos seus próprios recursos do Azure (ou os de um cliente, com autorização explícita por escrito) são regidos pelo mesmo ROE. Dentro do escopo autorizado, o ROE não enumera quais técnicas de adversário são permitidas, portanto, o texto de controle é a lista de atividades proibidas. Preste atenção especial a estas restrições, que afetam diretamente as táticas e os procedimentos do red team:
- Você não pode usar, acessar ou recuperar credenciais ou outros segredos que não são seus , incluindo credenciais vazadas publicamente. No seu próprio ambiente, atacar contas que você possui não há problema; reutilizar credenciais de terceiros não é aceitável.
- Se você descobrir uma vulnerabilidade no serviços online do Microsoft durante um teste, deverá interrompê-la e denunciá-la por meio do Microsoft Security Response Center (MSRC). As ações pós-exploração contra ativos da Microsoft, incluindo enumeração de redes internas, extração de segredos, execução de código adicional, movimentação lateral ou dinamização além da prova de conceito inicial, são proibidas.
- O teste de DDoS é proibido em todas as circunstâncias. Use os parceiros de simulação de DDoS listados abaixo.
- Teste de fuzzing com o uso intensivo de rede ou testes automatizados que gerem tráfego excessivo não são permitidos.
Para exercícios de equipe vermelha específicos para a IA em cargas de trabalho de IA do Azure (incluindo implantações do OpenAI do Azure e do Microsoft Foundry), consulte Planejar o teste de equipe vermelha para os grandes modelos de linguagem (LLMs) e seus aplicativos e a série de treinamento da para testes de equipe vermelha da IA da Microsoft.
Teste proibido
As atividades a seguir não são permitidas independentemente da autorização. Esta lista é ilustrativa; o ROE é a fonte autoritativa.
- Teste de DoS (negação de serviço) de qualquer tipo, incluindo testes que determinam, demonstram ou simulam o DoS. Ataques de DDoS são estritamente proibidos em todas as circunstâncias.
- Acessar, verificar ou testar os locatários, sistemas, logs, dados ou contas de armazenamento do Azure que você não possui nem tem permissão explícita para testar.
- Usando, acessando ou recuperando credenciais ou outros segredos que não são seus.
- Testes de fuzzing ou automatizados de rede que geram tráfego excessivo.
- Ataques de phishing ou engenharia social direcionados a funcionários Microsoft ou usando serviços Microsoft (incluindo Azure) para executar phishing ou engenharia social contra outras pessoas.
- As ações pós-comprometimento ou pós-exploração em relação aos serviços online da Microsoft além da prova de conceito inicial, por exemplo, enumeração de redes internas, extração de segredos, execução de código adicional, movimento lateral ou dinamização.
Teste de simulação de DDoS
Se você precisar testar sua resiliência de DDoS, poderá usar parceiros de simulação aprovados pela Microsoft. Esses parceiros fornecem serviços de simulação DDoS controlados que não violam as regras de teste de penetração:
- BreakingPoint Cloud: um gerador de tráfego de autoatendimento onde seus clientes podem gerar tráfego em endpoints públicos com Proteção contra DDoS habilitada para simulações.
- MazeBolt: A plataforma RADAR™ identifica e habilita continuamente a eliminação de vulnerabilidades de DDoS – proativamente e sem interrupção em operações de negócios.
- Botão Vermelho: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
- RedWolf: um provedor de teste de DDoS de autoatendimento ou guiado com controle em tempo real.
Para saber mais sobre esses parceiros de simulação, consulte o teste com parceiros de simulação.
Se o seu teste for sinalizado
Azure executa a detecção automatizada de abuso no tráfego de saída e de entrada. Testes legítimos são ocasionalmente sinalizados, e o ROE observa que Microsoft pode, a seu critério, interromper a atividade em andamento, independentemente de ser um teste válido. Se você receber uma notificação de abuso relativa a uma atividade em conformidade com o ROE, responda à notificação com a autorização do cliente e uma descrição da atividade abrangida pelo escopo. Manter documentos de autorização prontamente acessíveis reduz significativamente esse processo.
Próximas etapas
- Analise as Regras de Engajamento do Teste de Penetração Unificado da Microsoft Cloud.
- Relatar vulnerabilidades de segurança descobertas durante o teste no Microsoft Security Response Center.