「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Azure]] --[[テスト]] * 目次 [#q39e66fa] #contents *概要 [#x4674166] Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。 *申請 [#e83adaf7] -負荷テストに関しては事前告知不要。 -侵入テストに対しては、事前申請が必要。 Azureは負荷によるIP遮断の様な事はしていない様ですが、~ 攻撃的の監視はしているようなので、脆弱性の検証のみ申請が必要。 -Microsoft Azure での侵入テスト (ペネトレーションテスト) について – Microsoft Azure サポート チーム サイト~ https://blogs.msdn.microsoft.com/dsazurejp/2017/07/01/microsoft-azure-12/ ただし、今後、見直しが入る可能性はあるので注意。 *[[負荷テスト>負荷テストのポイント]] [#fba4d3a9] AzureのSQLデータベースは、共有サービスモデルで提供されるため、~ 過剰なリソース消費をした場合、接続を切断されることがあるようです。~ ※ただし、これは、AzureのSLAにも含まれる対応。 こう言った問題を解決するには、 -インスタンス・サイズを大きくしてスケールアップするか、 -以下の方式でスケールアウトする必要があります。 --Azure SQL Database Federations(2015 年 9 月にサービス終了) --Azure SQL Database Elastic Scale *[[脆弱性診断テスト>脆弱性対策のポイント]] [#ef0d3e49] NessusやAppScanは、 >擬似的に攻撃(脆弱性を突くようなリクエスト) を行うため侵入テストに該当します。 以下から申請を行う必要がある。 -Windows Azure トラスト センター セキュリティ~ http://www.windowsazure.com/ja-jp/support/trust-center/security/ 下の blogでは、7日前、と書かれている。 申請の審査に5日程度必要(USで審査のため)とのこと。 -Windows Azureへのペネトレーション テスト (侵入テスト)~ http://satonaoki.wordpress.com/2012/11/19/azure-penetration-test/ 申請フォーマットの中に、「DoS は禁止」と書かれている。~ テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。 *補足 [#l2f1a4d5] **対象 [#h02a567b] AppScanについては、ローカルサーバ上にテスト環境があれば、~ そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、~ IaasではなくPaasやSaaSを対象とした場合は、Azureでのテストが必要になる。 ※ Paas開発のエミュレータは存在するが、サーバ環境にデプロイできないので。 **方法 [#h7787464] -JMeterなどのOSSは、Webロールへ直接インストールすることはできるが、 -AppScanなどは、ノードロックライセンスであるためWebロールへインストールできない -内部IPと通信できるか?課金されないか?などは別途調査が必要。 *参考 [#pe4383f3] -侵入テスト | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/security/azure-security-pen-testing **統合侵入テストの活動規則 [#sef283ff] -Microsoft Cloud Unified Penetration Testing Rules of Engagement~ https://technet.microsoft.com/library/mt784683.aspx -Microsoft Cloud Unified Penetration Testing Rules of Engagement~ https://technet.microsoft.com/en-us/mt784683.aspx **Microsoft に連絡する [#m0ad2b09] -Submit Azure Service Penetration Testing Notification~ https://portal.msrc.microsoft.com/en-us/engage/pentest **実行できる標準テスト [#rdeebd32] ***OWASP の上位 10 の脆弱性 [#n10fe1a6] -Category:OWASP Top Ten Project - OWASP~ https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project --https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf ---A1 : インジェクション ---A2 : 認証とセッション管理の不備 ---A3 : クロスサイトスクリプティング (XSS) ---A4 : 安全でないオブジェクト直接参照 ---A5 : セキュリティ設定のミス ---A6 : 機密データの露出 ---A7 : 機能レベルアクセス制御の欠落 ---A8 : クロスサイトリクエストフォージェリ(CSRF) ---A9 : 既知の脆弱性を持つコンポーネントの使用 ---A10 : 未検証のリダイレクトとフォーワード ***ファジー テスト [#r6e32098] -Fuzz Testing at Microsoft and the Triage Process – Microsoft Secure~ https://cloudblogs.microsoft.com/microsoftsecure/2007/09/20/fuzz-testing-at-microsoft-and-the-triage-process/ >データ(例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ)を解析して消費するプログラムインターフェース(エントリポイント)に~ 不正な入力データを供給することによって、プログラムの失敗(コードエラー)を見つける方法である。 ***ポートのスキャン [#m08c0c30] -Port scanner - Wikipedia~ https://en.wikipedia.org/wiki/Port_scanner **AWSの場合 [#i6b7804f] -ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS~ https://aws.amazon.com/jp/security/penetration-testing/ -Developers.IO --Amazon EC2への侵入テスト申請について~ https://dev.classmethod.jp/cloud/aws/penetration-testing/ --2017年版 AWSの侵入テストについて~ https://dev.classmethod.jp/cloud/aws/2017-penetration-testing/ --AWSの負荷テストについて~ http://dev.classmethod.jp/cloud/aws/aws-load-testing/ ---- Tags: [[:テスト]], [[:クラウド]], [[:Azure]]