Azure上でのテスト のバックアップの現在との差分(No.3)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• Azure上でのテスト へ行く。
  • 1 (2014-09-19 (金) 10:11:56)
  • 2 (2014-09-19 (金) 10:13:30)
  • 3 (2015-01-28 (水) 11:01:55)
  • 4 (2015-09-08 (火) 10:30:04)
  • 5 (2016-01-26 (火) 13:03:02)
  • 6 (2017-02-27 (月) 18:30:07)
  • 7 (2017-07-19 (水) 09:56:40)
  • 8 (2017-08-06 (日) 15:48:38)
  • 9 (2017-10-18 (水) 10:12:28)
  • 10 (2017-12-06 (水) 11:30:28)
  • 11 (2018-01-16 (火) 16:09:50)
  • 12 (2019-03-06 (水) 19:11:18)
  • 13 (2019-05-08 (水) 11:12:01)
  • 14 (2021-01-26 (火) 15:28:31)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure]]
-戻る
--[[Azure]]
--[[テスト]]

* 目次 [#q39e66fa]
#contents

*概要 [#x4674166]
Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。

*申請 [#e83adaf7]
**Microsoft [#b2151fbf]
-負荷テストに関しては事前告知不要。
-侵入テストに対しては、事前申請が必要。
*詳細 [#ca112c72]

Azureは負荷によるIP遮断の様な事はしていない様ですが、~
攻撃的の監視はしているようなので、脆弱性の検証のみ申請が必要。
**テストの実施 [#m5a10a76]

*負荷テスト [#fba4d3a9]
***テスト申請 [#e83adaf7]
-以前は、

--負荷テストに関しては事前告知不要。
--侵入テストに対しては、事前申請が必要。

>となっていたが、

-現在、事前申請は不要になっている。

※ GCP・Azure（2017/6/15）に続く形で~
　 AWSも事前申請が不要になったらしい（2019/3/5）

***[[負荷テスト>負荷テストのポイント]] [#fba4d3a9]
AzureのSQLデータベースは、共有サービスモデルで提供されるため、~
過剰なリソース消費をした場合、接続を切断されることがあるようです。~
※ただし、これは、AzureのSLAにも含まれる対応。
過剰なリソース消費をした場合、接続を切断されることがあるようです。

※ ただし、これは、AzureのSLAにも含まれる対応。

こう言った問題を解決するには、

-インスタンス・サイズを大きくしてスケールアップするか、

-以下の方式でスケールアウトする必要があります。
--第7回　スケールアウトとSQL Azure Federation~
：SQL Azureを徹底活用｜gihyo.jp … 技術評論社~
http://gihyo.jp/admin/serial/01/sql_azure/0007
--Azure SQL Database Federations(2015 年 9 月にサービス終了)
--[[Elastic Scale, Elastic Database Pool]]

>>Federationというインスタンスを跨ぐタイプのパーティショニングでスケールアウト。
***[[脆弱性診断テスト>脆弱性対策のポイント]] [#ef0d3e49]
NessusやAppScanは、

*脆弱性診断テスト [#ef0d3e49]
NessusやAppScanは、
>擬似的に攻撃（脆弱性を突くようなリクエスト）

を行うため侵入テストに該当します。
を行うため侵入テストに該当する。

以下から申請を行う必要がある。
侵入テストのアクティビティを事前通知する必要はなくなったが、~
「[[侵入テストの実施ルール>#sef283ff]]」に引き続き従う必要がある。~
（実施ルール中に禁止のアクティビティが明記されている）

-Windows Azure トラスト センター セキュリティ~
http://www.windowsazure.com/ja-jp/support/trust-center/security/
%%以下から申請を行う必要がある。%%

下の blogでは、7日前、と書かれている。
申請の審査に5日程度必要(USで審査のため)とのこと。
-%%Windows Azure トラスト センター セキュリティ%%~
%% http://www.windowsazure.com/ja-jp/support/trust-center/security/ %%

-Windows Azureへのペネトレーション テスト (侵入テスト)~
http://satonaoki.wordpress.com/2012/11/19/azure-penetration-test/  
%%下の blogでは、7日前、と書かれている。%%~
%%申請の審査に5日程度必要(USで審査のため)とのこと。%%

申請フォーマットの中に、「DoS は禁止」と書かれている。~
テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。
-%%Windows Azureへのペネトレーション テスト (侵入テスト)%%~
%% http://satonaoki.wordpress.com/2012/11/19/azure-penetration-test/ %%

%%申請フォーマットの中に、「DoS は禁止」と書かれている。%%~
%%テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。%%

*その他 [#l2f1a4d5]
**補足 [#l2f1a4d5]

**対象 [#h02a567b]
***対象 [#h02a567b]
AppScanについては、ローカルサーバ上にテスト環境があれば、~
そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、~
IaasではなくPaasを対象とした場合は、Azureでのテストが必要になる。
IaasではなくPaaSやSaaSを対象とした場合は、Azureでのテストが必要になる。

**方法 [#h7787464]
-JMeterなどのOSSは、Webロールへ直接インストールすることはできるが、
-AppScanなどは、ノードロックライセンスであるためWebロールへインストールできない
※ PaaS開発のエミュレータは存在するが、サーバ環境にデプロイできないので。

***方法 [#h7787464]
-最近のAzureはIaaSもサポートされているので、~
検査ツールのインストールなどに問題は無し。~
（昔はWebロールとWorkerロールだったので）

-内部IPと通信できるか？課金されないか？などは別途調査が必要。

*参考 [#pe4383f3]

**統合侵入テストの活動規則 [#sef283ff]
-侵入テスト | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/security/fundamentals/pen-testing

-Microsoft Cloud 侵入テストの実施ルール~
https://www.microsoft.com/ja-jp/msrc/pentest-rules-of-engagement

-%%Microsoft Cloud Unified Penetration Testing Rules of Engagement%%
--%% https://technet.microsoft.com/library/mt784683.aspx %%
--%% https://technet.microsoft.com/en-us/mt784683.aspx %%

**Microsoft に連絡する [#m0ad2b09]
マイクロソフト製品またはサービスの脆弱性を報告するサイト。

-Submit Azure Service Penetration Testing Notification~
https://portal.msrc.microsoft.com/en-us/engage/pentest

**実行できる標準テスト [#rdeebd32]

***OWASP の上位 10 の脆弱性 [#n10fe1a6]
-Category:OWASP Top Ten Project - OWASP~
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
--https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
---A1 : インジェクション
---A2 : 認証とセッション管理の不備
---A3 : クロスサイトスクリプティング (XSS)
---A4 : 安全でないオブジェクト直接参照
---A5 : セキュリティ設定のミス
---A6 : 機密データの露出
---A7 : 機能レベルアクセス制御の欠落
---A8 : クロスサイトリクエストフォージェリ(CSRF)
---A9 : 既知の脆弱性を持つコンポーネントの使用
---A10 : 未検証のリダイレクトとフォーワード

***ファジー テスト [#r6e32098]
-Fuzz Testing at Microsoft and the Triage Process – Microsoft Secure~
https://cloudblogs.microsoft.com/microsoftsecure/2007/09/20/fuzz-testing-at-microsoft-and-the-triage-process/

>データ（例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ）を~
解析して消費するプログラムインターフェース（エントリポイント）に~
不正な入力データを供給することによって、プログラムの失敗（コードエラー）を見つける方法である。

***ポートのスキャン [#m08c0c30]
-Port scanner - Wikipedia~
https://en.wikipedia.org/wiki/Port_scanner

**AWSの場合 [#i6b7804f]
-AWS、侵入テスト申請やめるってよ - とある診断員の備忘録~
http://tigerszk.hatenablog.com/entry/2019/03/05/190815

-ペネトレーションテスト（侵入テスト）- AWS セキュリティ｜AWS~
https://aws.amazon.com/jp/security/penetration-testing/

-Developers.IO
--Amazon EC2への侵入テスト申請について~
https://dev.classmethod.jp/cloud/aws/penetration-testing/

--2017年版　AWSの侵入テストについて~
https://dev.classmethod.jp/cloud/aws/2017-penetration-testing/
--【2018年版】AWSの脆弱性テスト、侵入テストについて~
https://dev.classmethod.jp/articles/2018-penetration-testing-ja/
--【2019年アップデート】侵入テストについて~
https://dev.classmethod.jp/articles/2019-penetration-testing-ja/

--AWSの負荷テストについて~
http://dev.classmethod.jp/cloud/aws/aws-load-testing/

----
Tags: [[:テスト]], [[:クラウド]], [[:Azure]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.013 sec.