Azure上でのテスト のバックアップ(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure上でのテスト へ行く。
  • 1 (2014-09-19 (金) 10:11:56)
  • 2 (2014-09-19 (金) 10:13:30)
  • 3 (2015-01-28 (水) 11:01:55)
  • 4 (2015-09-08 (火) 10:30:04)
  • 5 (2016-01-26 (火) 13:03:02)
  • 6 (2017-02-27 (月) 18:30:07)
  • 7 (2017-07-19 (水) 09:56:40)
  • 8 (2017-08-06 (日) 15:48:38)
  • 9 (2017-10-18 (水) 10:12:28)
  • 10 (2017-12-06 (水) 11:30:28)
  • 11 (2018-01-16 (火) 16:09:50)
  • 12 (2019-03-06 (水) 19:11:18)
  • 13 (2019-05-08 (水) 11:12:01)
  • 14 (2021-01-26 (火) 15:28:31)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。

申請 †

• 負荷テストに関しては事前告知不要。
• 侵入テストに対しては、事前申請が必要。

Azureは負荷によるIP遮断の様な事はしていない様ですが、
攻撃的の監視はしているようなので、脆弱性の検証のみ申請が必要。

• Microsoft Azure での侵入テスト (ペネトレーションテスト) について – Microsoft Azure サポート チーム サイト
  https://blogs.msdn.microsoft.com/dsazurejp/2017/07/01/microsoft-azure-12/

ただし、今後、見直しが入る可能性はあるので注意。

負荷テスト †

AzureのSQLデータベースは、共有サービスモデルで提供されるため、
過剰なリソース消費をした場合、接続を切断されることがあるようです。
※ただし、これは、AzureのSLAにも含まれる対応。

こう言った問題を解決するには、

• インスタンス・サイズを大きくしてスケールアップするか、

• 以下の方式でスケールアウトする必要があります。
  • Azure SQL Database Federations(2015 年 9 月にサービス終了)
  • Azure SQL Database Elastic Scale

脆弱性診断テスト †

NessusやAppScan?は、

擬似的に攻撃（脆弱性を突くようなリクエスト）

を行うため侵入テストに該当します。

以下から申請を行う必要がある。

• Windows Azure トラスト センター セキュリティ
  http://www.windowsazure.com/ja-jp/support/trust-center/security/

下の blogでは、7日前、と書かれている。 申請の審査に5日程度必要(USで審査のため)とのこと。

• Windows Azureへのペネトレーション テスト (侵入テスト)
  http://satonaoki.wordpress.com/2012/11/19/azure-penetration-test/

申請フォーマットの中に、「DoS は禁止」と書かれている。
テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。

補足 †

対象 †

AppScan?については、ローカルサーバ上にテスト環境があれば、
そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、
IaasではなくPaasやSaaSを対象とした場合は、Azureでのテストが必要になる。

※ Paas開発のエミュレータは存在するが、サーバ環境にデプロイできないので。

方法 †

• JMeterなどのOSSは、Webロールへ直接インストールすることはできるが、
• AppScan?などは、ノードロックライセンスであるためWebロールへインストールできない

• 内部IPと通信できるか？課金されないか？などは別途調査が必要。

参考 †

• 侵入テスト | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/security/azure-security-pen-testing

統合侵入テストの活動規則 †

• Microsoft Cloud Unified Penetration Testing Rules of Engagement
  https://technet.microsoft.com/library/mt784683.aspx
• Microsoft Cloud Unified Penetration Testing Rules of Engagement
  https://technet.microsoft.com/en-us/mt784683.aspx

Microsoft に連絡する †

• Submit Azure Service Penetration Testing Notification
  https://portal.msrc.microsoft.com/en-us/engage/pentest

実行できる標準テスト †

OWASP の上位 10 の脆弱性 †

• Category:OWASP Top Ten Project - OWASP
  https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
    • A1 : インジェクション
    • A2 : 認証とセッション管理の不備
    • A3 : クロスサイトスクリプティング (XSS)
    • A4 : 安全でないオブジェクト直接参照
    • A5 : セキュリティ設定のミス
    • A6 : 機密データの露出
    • A7 : 機能レベルアクセス制御の欠落
    • A8 : クロスサイトリクエストフォージェリ(CSRF)
    • A9 : 既知の脆弱性を持つコンポーネントの使用
    • A10 : 未検証のリダイレクトとフォーワード

ファジー テスト †

• Fuzz Testing at Microsoft and the Triage Process – Microsoft Secure
  https://cloudblogs.microsoft.com/microsoftsecure/2007/09/20/fuzz-testing-at-microsoft-and-the-triage-process/

データ（例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ）を解析して消費するプログラムインターフェース（エントリポイント）に
不正な入力データを供給することによって、プログラムの失敗（コードエラー）を見つける方法である。

ポートのスキャン †

• Port scanner - Wikipedia
  https://en.wikipedia.org/wiki/Port_scanner

AWSの場合 †

• ペネトレーションテスト（侵入テスト）- AWS セキュリティ｜AWS
  https://aws.amazon.com/jp/security/penetration-testing/

• Developers.IO
  • Amazon EC2への侵入テスト申請について
    https://dev.classmethod.jp/cloud/aws/penetration-testing/
  • 2017年版　AWSの侵入テストについて
    https://dev.classmethod.jp/cloud/aws/2017-penetration-testing/
  • AWSの負荷テストについて
    http://dev.classmethod.jp/cloud/aws/aws-load-testing/

---

Tags: :テスト, :クラウド, :Azure

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.020 sec.