「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。
Azureは負荷によるIP遮断の様な事はしていない様ですが、
攻撃的の監視はしているようなので、脆弱性の検証のみ申請が必要。
ただし、今後、見直しが入る可能性はあるので注意。
AzureのSQLデータベースは、共有サービスモデルで提供されるため、
過剰なリソース消費をした場合、接続を切断されることがあるようです。
※ただし、これは、AzureのSLAにも含まれる対応。
こう言った問題を解決するには、
NessusやAppScan?は、
擬似的に攻撃(脆弱性を突くようなリクエスト)
を行うため侵入テストに該当します。
以下から申請を行う必要がある。
下の blogでは、7日前、と書かれている。 申請の審査に5日程度必要(USで審査のため)とのこと。
申請フォーマットの中に、「DoS は禁止」と書かれている。
テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。
AppScan?については、ローカルサーバ上にテスト環境があれば、
そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、
IaasではなくPaasやSaaSを対象とした場合は、Azureでのテストが必要になる。
※ Paas開発のエミュレータは存在するが、サーバ環境にデプロイできないので。
データ(例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ)を解析して消費するプログラムインターフェース(エントリポイント)に
不正な入力データを供給することによって、プログラムの失敗(コードエラー)を見つける方法である。