「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。
詳細 †
テストの実施 †
テスト申請 †
- 負荷テストに関しては事前告知不要。
- 侵入テストに対しては、事前申請が必要。
となっていたが、
※ GCP・Azure(2017/6/15)に続く形で
AWSも事前申請が不要になったらしい(2019/3/5)
AzureのSQLデータベースは、共有サービスモデルで提供されるため、
過剰なリソース消費をした場合、接続を切断されることがあるようです。
※ ただし、これは、AzureのSLAにも含まれる対応。
こう言った問題を解決するには、
- インスタンス・サイズを大きくしてスケールアップするか、
NessusやAppScan?は、
擬似的に攻撃(脆弱性を突くようなリクエスト)
を行うため侵入テストに該当する。
侵入テストのアクティビティを事前通知する必要はなくなったが、
「侵入テストの実施ルール」に引き続き従う必要がある。
(実施ルール中に禁止のアクティビティが明記されている)
以下から申請を行う必要がある。
下の blogでは、7日前、と書かれている。
申請の審査に5日程度必要(USで審査のため)とのこと。
申請フォーマットの中に、「DoS は禁止」と書かれている。
テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。
補足 †
対象 †
AppScan?については、ローカルサーバ上にテスト環境があれば、
そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、
IaasではなくPaaSやSaaSを対象とした場合は、Azureでのテストが必要になる。
※ PaaS開発のエミュレータは存在するが、サーバ環境にデプロイできないので。
方法 †
- 最近のAzureはIaaSもサポートされているので、
検査ツールのインストールなどに問題は無し。
(昔はWebロールとWorkerロールだったので)
- 内部IPと通信できるか?課金されないか?などは別途調査が必要。
参考 †
統合侵入テストの活動規則 †
Microsoft Cloud Unified Penetration Testing Rules of Engagement
Microsoft に連絡する †
マイクロソフト製品またはサービスの脆弱性を報告するサイト。
実行できる標準テスト †
OWASP の上位 10 の脆弱性 †
ファジー テスト †
データ(例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ)を
解析して消費するプログラムインターフェース(エントリポイント)に
不正な入力データを供給することによって、プログラムの失敗(コードエラー)を見つける方法である。
ポートのスキャン †
AWSの場合 †
Tags: :テスト, :クラウド, :Azure