マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。

テスト

テスト申請

Azureの侵入テストのルール事項は、

  • 負荷テストに関しては事前告知不要。
  • 侵入テストに対しては、事前申請が必要。

と、負荷によるIP遮断の様な事はしていない様ですが、
攻撃的の監視はしているようなので、脆弱性の検証のみ申請が必要の様です。

ただし、今後、見直しが入る可能性はあるので注意が必要。
実際、AWSについては、2019/03/05 に以下の様なルール変更が発生したようです。

負荷テスト

AzureのSQLデータベースは、共有サービスモデルで提供されるため、
過剰なリソース消費をした場合、接続を切断されることがあるようです。

※ ただし、これは、AzureのSLAにも含まれる対応。

こう言った問題を解決するには、

  • インスタンス・サイズを大きくしてスケールアップするか、
  • 以下の方式でスケールアウトする必要があります。
    • Azure SQL Database Federations(2015 年 9 月にサービス終了)
    • Azure SQL Database Elastic Scale

脆弱性診断テスト

NessusやAppScan?は、

擬似的に攻撃(脆弱性を突くようなリクエスト)

を行うため侵入テストに該当します。

以下から申請を行う必要がある。

下の blogでは、7日前、と書かれている。
申請の審査に5日程度必要(USで審査のため)とのこと。

申請フォーマットの中に、「DoS は禁止」と書かれている。
テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。

補足

対象

AppScan?については、ローカルサーバ上にテスト環境があれば、
そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、
IaasではなくPaasやSaaSを対象とした場合は、Azureでのテストが必要になる。

※ Paas開発のエミュレータは存在するが、サーバ環境にデプロイできないので。

方法

  • JMeterなどのOSSは、Webロールへ直接インストールすることはできるが、
  • AppScan?などは、ノードロックライセンスであるためWebロールへインストールできない
  • 内部IPと通信できるか?課金されないか?などは別途調査が必要。

参考

統合侵入テストの活動規則

Microsoft に連絡する

実行できる標準テスト

OWASP の上位 10 の脆弱性

  • Category:OWASP Top Ten Project - OWASP
    https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
    • https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
      • A1 : インジェクション
      • A2 : 認証とセッション管理の不備
      • A3 : クロスサイトスクリプティング (XSS)
      • A4 : 安全でないオブジェクト直接参照
      • A5 : セキュリティ設定のミス
      • A6 : 機密データの露出
      • A7 : 機能レベルアクセス制御の欠落
      • A8 : クロスサイトリクエストフォージェリ(CSRF)
      • A9 : 既知の脆弱性を持つコンポーネントの使用
      • A10 : 未検証のリダイレクトとフォーワード

ファジー テスト

データ(例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ)を
解析して消費するプログラムインターフェース(エントリポイント)に
不正な入力データを供給することによって、プログラムの失敗(コードエラー)を見つける方法である。

ポートのスキャン

AWSの場合


Tags: :テスト, :クラウド, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-05-08 (水) 11:12:01 (166d)