Pruebas de penetración

Las pruebas de penetración de las aplicaciones son una parte importante de ejecutarlas en Azure. No necesitas la aprobación previa de Microsoft para hacerlo, pero sí debes seguir las reglas publicadas. En este artículo se resumen esas reglas y se te remite a las fuentes autorizadas.

A partir del 15 de junio de 2017, Microsoft ya no requiere aprobación previa para realizar una prueba de penetración en los recursos de Azure. Este proceso solo está relacionado con Microsoft Azure y no es aplicable ningún otro Microsoft Cloud Service.

Importante

La notificación ya no es necesaria, pero los clientes y terceros autorizados deben cumplir las Microsoft Cloud Reglas unificadas de pruebas de penetración de engagement. Las reglas de compromiso (ROE) son la fuente autoritativa; este artículo es un resumen.

Quién puede probar

Puede realizar pruebas de penetración en los recursos de Azure de su propiedad. Los terceros (como proveedores de servicios de seguridad administrados, firmas de consultoría y equipos rojos) también pueden probar, siempre que tengan autorización explícita por escrito del propietario del recurso. Documente esa autorización en el contrato de servicio antes de que comiencen las pruebas. Microsoft no concede autorización en nombre del cliente.

Si utiliza Azure como el origen de la actividad de pruebas (por ejemplo, ejecutando herramientas de pruebas de penetración o de equipo rojo desde máquinas virtuales o Functions de Azure contra sistemas hospedados en otro lugar), las ROE siguen aplicándose y su uso de Azure sigue estando sujeto a las condiciones de su suscripción. El ROE prohíbe específicamente el uso de servicios Microsoft para realizar suplantación de identidad (phishing) u otros ataques de ingeniería social contra otros usuarios.

Pruebas permitidas

Puede realizar pruebas de penetración en aplicaciones y servicios hospedados Azure sin aprobación previa. Algunos ejemplos son:

  • Los puntos de conexión hospedados en Azure Virtual Machines
  • Aplicaciones de Azure App Service (Web Apps, API Apps, Mobile Apps)
  • Puntos de conexión de API y Azure Functions
  • sitios web de Azure
  • Cualquier otro servicio de Azure en el que sea propietario o tenga autorización explícita para probar los recursos implementados

Las pruebas estándar que puede realizar incluyen:

Esta lista es ilustrativa, no exhaustiva. Las reglas de compromiso son la fuente autoritativa de lo que se permite.

Las ROE también fomentan explícitamente actividades como crear cuentas de prueba o inquilinos de prueba para escenarios de prueba entre cuentas o entre inquilinos, generar tráfico para probar la capacidad de sobrecarga dentro de sus propias aplicaciones, probar los sistemas de detección y supervisión de seguridad de su inquilino, evaluar directivas de administración de aplicaciones móviles (MAM) de acceso condicional o intune, intentar dividir contenedores de servicios compartidos como Azure Websites o Azure Functions (con divulgación responsable y cese inmediato tras el éxito) e intentar romper los límites del sistema de inteligencia artificial.

Actividades de equipo rojo

Las interacciones de equipo rojo con sus propios recursos de Azure (o los de un cliente, con autorización escrita explícita) se rigen por las mismas ROE. Dentro del ámbito autorizado, el ROE no enumera qué técnicas de adversario se permiten, por lo que el texto de control es la lista de actividades prohibidas. Preste especial atención a estas restricciones, que afectan directamente a las tácticas, técnicas y procedimientos del equipo rojo:

  • No puede usar, acceder ni recuperar credenciales u otros secretos que no sean suyos propios, incluidas las credenciales filtradas públicamente. En su propio entorno, atacar cuentas de su propiedad está bien; reutilizar credenciales de terceros no lo está.
  • Si detecta una vulnerabilidad en los servicios en línea de Microsoft durante una prueba, debe detener la prueba y notificarla a través de Centro de respuestas de seguridad de Microsoft (MSRC). Se prohíben las acciones posteriores a la explotación contra los activos de Microsoft, incluidas la enumeración de redes internas, el volcado de secretos, la ejecución de código adicional, el movimiento lateral o pivotar más allá de la prueba de concepto inicial.
  • Las pruebas de DDoS están prohibidas en todas las circunstancias. Use los asociados de simulación DDoS que se enumeran a continuación.
  • No se permiten las pruebas de fuzzing con uso intensivo de red ni las pruebas automatizadas que generan tráfico excesivo.

Para obtener información sobre ejercicios de red teaming específicos para IA en cargas de trabajo de IA de Azure (incluidas las implementaciones de Azure OpenAI y Microsoft Foundry), consulte Planificar el red teaming para modelos de lenguaje grandes (LLM) y sus aplicaciones y la serie de entrenamiento de equipo rojo de IA de Microsoft.

Pruebas prohibidas

Las actividades siguientes no se permiten independientemente de la autorización. Esta lista es ilustrativa; el ROE es el origen autoritativo.

  • Pruebas de denegación de servicio (DoS) de cualquier tipo, incluidas las pruebas que determinan, muestran o simulan doS. Los ataques DDoS están estrictamente prohibidos en todas las circunstancias.
  • Acceder a, escanear o probar inquilinos de Azure, sistemas, registros, datos o cuentas de almacenamiento que no posee o para los que no tiene permiso explícito para realizar pruebas.
  • Uso, acceso o recuperación de credenciales u otros secretos que no sean suyos propios.
  • Información o pruebas automatizadas con uso intensivo de la red que generan tráfico excesivo.
  • Ataques de phishing o de ingeniería social dirigidos a empleados de Microsoft, o que utilizan servicios de Microsoft (incluido Azure) para llevar a cabo ataques de phishing o de ingeniería social contra otras personas.
  • Acciones posteriores a una vulneración o a la explotación contra los servicios en línea de Microsoft, más allá de la prueba de concepto inicial; por ejemplo, enumerar redes internas, volcar secretos, ejecutar código adicional, movimiento lateral o dinamización.

Pruebas de simulación de DDoS

Si necesita probar la resistencia de DDoS, puede usar asociados de simulación aprobados por Microsoft. Estos asociados proporcionan servicios de simulación DDoS controlados que no infringen las reglas de pruebas de penetración:

  • BreakingPoint Cloud: generador de tráfico de autoservicio donde los clientes pueden generar tráfico contra puntos de conexión públicos habilitados para DDoS Protection para simulaciones.
  • MazeBolt: la plataforma RADAR™ identifica continuamente y habilita la eliminación de vulnerabilidades de DDoS, de forma proactiva y sin interrupciones en las operaciones empresariales.
  • Botón rojo: trabaje con un equipo dedicado de expertos para simular escenarios de ataque DDoS reales en un entorno controlado.
  • RedWolf: proveedor de pruebas de DDoS en autoservicio o guiado con control en tiempo real.

Para más información sobre estos asociados de simulación, consulte Pruebas con asociados de simulación.

Si la prueba está marcada

Azure ejecuta la detección automatizada de abusos en el tráfico saliente y entrante. Las pruebas legítimas se señalan ocasionalmente, y el ROE señala que Microsoft puede, según su criterio, interrumpir la actividad en curso con independencia de que se trate de una prueba válida. Si recibe una notificación de abuso para la actividad que cumple con el ROE, responda a la notificación con la autorización del cliente y una descripción de la actividad dentro del ámbito. Mantener fácilmente accesibles los documentos de autorización reduce significativamente este proceso.

Pasos siguientes