文档介绍:渗透测试流程
渗透测试 – Windows Azure
Windows Azure 非常重视平台的安全,已经实施了多项有助于提高平台安全的技术和程序性措施。这些措施包括身份和访问管理、相互 SSL 身份验证、分层环境、监视、日志记录和报告。我们还进行定期渗透测试,以探测平台的弱点,并帮助我们改进安全控件。
我们深知,安全评估和测试也是客户应用程序开发和部署的重要部分。我们确立了一项策略,即让客户对托管在 Windows Azure 中的应用程序执行授权渗透测试。因为此类测试可能无法与真实攻击区分,因此客户请务必在提前通知 世纪互联并获得批准后,再严格按照我们的条款和条件进行渗透测试。
渗透测试批准流程:
启动渗透测试的批准流程
要获得渗透测试的批准,请填写并提交“渗透测试批准表”到。成功提交后,将向您提供一个参考号,以用于与此测试申请相关的任何进一步通信。
世纪互联进行批准
提交批准表后,世纪互联将在五个工作日内响应申请。如果需要进一步信息,世纪互联将使用“渗透测试批准表”中提供的信息,通过电子邮件与您联系。您可以使用提交申请过程中提供的参考号跟踪申请状态。
测试完成
您只能进行获得世纪互联批准的测试,并且必须遵守批准电子邮件中规定的任何条件。如果您需要额外时间(或另定时间)来执行测试,必须提交新的批准表。只有获得 世纪互联对新日期的授权后,才能执行测试。
如果您认为自己发现了与 Windows Azure 服务相关的潜在安全缺陷或有对渗透测试或申请状态存有其他疑问,可通过。
渗透测试批准表
姓名(主要联系人)
电子邮件地址
电话号码
Windows Azure 订阅 ID
测试目的是什么?
由谁执行渗透测试(内部团队还是第三方)?
如果渗透测试由第三方执行,请提供以下详细信息:
第三方名称
联系人
电子邮件地址
电话号码
您的渗透测试过程是否包括标准测试(如下文中所定义)?是/否
如果回答是,请提供这些测试的以下信息:
测试的目标 DNS 名称
标有时区的测试开始日期和时间 (+/- GMT)
标有时区的测试结束日期和时间 (+/- GMT)
您的渗透测试过程是否包括标准测试以外的测试(如下文中所定义)?是/否
如果您回答是,请列出所有此类测试:
测试的简短描述
列出您要测试的所有功能(例如 SQL Azure、Windows Azure 存储、Windows Azure 计算)
测试的目标 DNS 名称 (*.)
从哪里启动测试?
(主机的 IP 地址)
如果适用,请提供将使用的开源/商业工具的名称
标有时区的测试开始日期和时间 (+/- GMT)
标有时区的
测试结束日期和时间 (+/- GMT)
渗透测试条款和条件
提交此表单即表示确认所提供信息的真实性和准确性,并同意以下条款和条件:
您是上文中所指明 Windows Azure 订阅的所有者,且有权对该订阅执行渗