「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Azure]] --[[テスト]] * 目次 [#q39e66fa] #contents *概要 [#x4674166] Azure上での負荷テスト、脆弱性診断テストのポイントを纏めた。 *詳細 [#ca112c72] **テストの実施 [#m5a10a76] ***テスト申請 [#e83adaf7] -以前は、 --負荷テストに関しては事前告知不要。 --侵入テストに対しては、事前申請が必要。 >となっていたが、 -現在、事前申請は不要になっている。 ※ GCP・Azure(2017/6/15)に続く形でAWSも事前申請が不要になったらしい(2019/3/5) ※ GCP・Azure(2017/6/15)に続く形で~ AWSも事前申請が不要になったらしい(2019/3/5) ポリシーに変更があり、 ***[[負荷テスト>負荷テストのポイント]] [#fba4d3a9] AzureのSQLデータベースは、共有サービスモデルで提供されるため、~ 過剰なリソース消費をした場合、接続を切断されることがあるようです。 ※ ただし、これは、AzureのSLAにも含まれる対応。 こう言った問題を解決するには、 -インスタンス・サイズを大きくしてスケールアップするか、 -以下の方式でスケールアウトする必要があります。 --Azure SQL Database Federations(2015 年 9 月にサービス終了) --[[Elastic Scale, Elastic Database Pool]] ***[[脆弱性診断テスト>脆弱性対策のポイント]] [#ef0d3e49] NessusやAppScanは、 >擬似的に攻撃(脆弱性を突くようなリクエスト) を行うため侵入テストに該当する。 侵入テストのアクティビティを事前通知する必要はなくなったが、~ 「[[侵入テストの実施ルール>#sef283ff]]」に引き続き従う必要がある。~ (実施ルール中に禁止のアクティビティが明記されている) %%以下から申請を行う必要がある。%% -%%Windows Azure トラスト センター セキュリティ%%~ %% http://www.windowsazure.com/ja-jp/support/trust-center/security/ %% %%下の blogでは、7日前、と書かれている。%%~ %%申請の審査に5日程度必要(USで審査のため)とのこと。%% -%%Windows Azureへのペネトレーション テスト (侵入テスト)%%~ %% http://satonaoki.wordpress.com/2012/11/19/azure-penetration-test/ %% %%申請フォーマットの中に、「DoS は禁止」と書かれている。%%~ %%テストツールで、Dos 攻撃になるリクエスト送出をしない設定にする必要がある。%% **補足 [#l2f1a4d5] ***対象 [#h02a567b] AppScanについては、ローカルサーバ上にテスト環境があれば、~ そちらに対してテストしてアプリケーションの脆弱性を検証することもできるが、~ IaasではなくPaaSやSaaSを対象とした場合は、Azureでのテストが必要になる。 ※ PaaS開発のエミュレータは存在するが、サーバ環境にデプロイできないので。 ***方法 [#h7787464] -最近のAzureはIaaSもサポートされているので、~ 検査ツールのインストールなどに問題は無し。~ (昔はWebロールとWorkerロールだったので) -内部IPと通信できるか?課金されないか?などは別途調査が必要。 *参考 [#pe4383f3] **統合侵入テストの活動規則 [#sef283ff] -侵入テスト | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/security/fundamentals/pen-testing -Microsoft Cloud 侵入テストの実施ルール~ https://www.microsoft.com/ja-jp/msrc/pentest-rules-of-engagement -%%Microsoft Cloud Unified Penetration Testing Rules of Engagement%% --%% https://technet.microsoft.com/library/mt784683.aspx %% --%% https://technet.microsoft.com/en-us/mt784683.aspx %% **Microsoft に連絡する [#m0ad2b09] マイクロソフト製品またはサービスの脆弱性を報告するサイト。 -Submit Azure Service Penetration Testing Notification~ https://portal.msrc.microsoft.com/en-us/engage/pentest **実行できる標準テスト [#rdeebd32] ***OWASP の上位 10 の脆弱性 [#n10fe1a6] -Category:OWASP Top Ten Project - OWASP~ https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project --https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf ---A1 : インジェクション ---A2 : 認証とセッション管理の不備 ---A3 : クロスサイトスクリプティング (XSS) ---A4 : 安全でないオブジェクト直接参照 ---A5 : セキュリティ設定のミス ---A6 : 機密データの露出 ---A7 : 機能レベルアクセス制御の欠落 ---A8 : クロスサイトリクエストフォージェリ(CSRF) ---A9 : 既知の脆弱性を持つコンポーネントの使用 ---A10 : 未検証のリダイレクトとフォーワード ***ファジー テスト [#r6e32098] -Fuzz Testing at Microsoft and the Triage Process – Microsoft Secure~ https://cloudblogs.microsoft.com/microsoftsecure/2007/09/20/fuzz-testing-at-microsoft-and-the-triage-process/ >データ(例えば、ファイル、ネットワーク、レジストリ、共有メモリパーサ)を~ 解析して消費するプログラムインターフェース(エントリポイント)に~ 不正な入力データを供給することによって、プログラムの失敗(コードエラー)を見つける方法である。 ***ポートのスキャン [#m08c0c30] -Port scanner - Wikipedia~ https://en.wikipedia.org/wiki/Port_scanner **AWSの場合 [#i6b7804f] -AWS、侵入テスト申請やめるってよ - とある診断員の備忘録~ http://tigerszk.hatenablog.com/entry/2019/03/05/190815 -ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS~ https://aws.amazon.com/jp/security/penetration-testing/ -Developers.IO --Amazon EC2への侵入テスト申請について~ https://dev.classmethod.jp/cloud/aws/penetration-testing/ --2017年版 AWSの侵入テストについて~ https://dev.classmethod.jp/cloud/aws/2017-penetration-testing/ --【2018年版】AWSの脆弱性テスト、侵入テストについて~ https://dev.classmethod.jp/articles/2018-penetration-testing-ja/ --【2019年アップデート】侵入テストについて~ https://dev.classmethod.jp/articles/2019-penetration-testing-ja/ --AWSの負荷テストについて~ http://dev.classmethod.jp/cloud/aws/aws-load-testing/ ---- Tags: [[:テスト]], [[:クラウド]], [[:Azure]]