詳解云計(jì)算之云滲透測(cè)試

云滲透測(cè)試不同于普通滲透測(cè)試。其中一個(gè)區(qū)別是,根據(jù)具體范圍,云滲透測(cè)試可能包括與基礎(chǔ)托管服務(wù)提供商的協(xié)調(diào)。如果該滲透測(cè)試識(shí)別出基礎(chǔ)托管提供商中的漏洞,則可能需要阻止該提供商以防止攻擊者橫向移動(dòng)。

云計(jì)算從根本上改變了信息安全的很多方面,但基本概念仍然適用,這包括安全程序的關(guān)鍵組件,例如滲透測(cè)試。

在風(fēng)險(xiǎn)管理中,重要部分是了解在何處以及如何對(duì)企業(yè)云進(jìn)行滲透測(cè)試。定期對(duì)所有關(guān)鍵任務(wù)云系統(tǒng)進(jìn)行滲透測(cè)試,有助于確定信息安全計(jì)劃中需要改進(jìn)的地方。根據(jù)安全團(tuán)隊(duì)的可用資源,他們可以在系統(tǒng)上線前、運(yùn)行系統(tǒng)時(shí)甚至在設(shè)計(jì)過(guò)程中進(jìn)行滲透測(cè)試。

作為參考,云安全聯(lián)盟(CSA)Top Threats工作組發(fā)布《云滲透測(cè)試手冊(cè)》,概述如何對(duì)公共云環(huán)境中托管的系統(tǒng)和服務(wù)進(jìn)行滲透測(cè)試。該手冊(cè)探討了很多問(wèn)題,例如如何確定云端滲透測(cè)試的范圍、如何在共享責(zé)任模型中執(zhí)行這些測(cè)試以及云滲透測(cè)試用例和問(wèn)題等方面。

2345截圖20200908083720.png

云端滲透測(cè)試的獨(dú)特挑戰(zhàn)

云滲透測(cè)試不同于普通滲透測(cè)試。其中一個(gè)區(qū)別是,根據(jù)具體范圍,云滲透測(cè)試可能包括與基礎(chǔ)托管服務(wù)提供商的協(xié)調(diào)。如果該滲透測(cè)試識(shí)別出基礎(chǔ)托管提供商中的漏洞,則可能需要阻止該提供商以防止攻擊者橫向移動(dòng)。這樣可以最大程度地減少對(duì)其他客戶(hù)的潛在影響,并將發(fā)現(xiàn)的結(jié)果通知給提供商。在大型分布式企業(yè)中,編排滲透測(cè)試的團(tuán)隊(duì)需要識(shí)別所有受影響的團(tuán)隊(duì),并與他們協(xié)調(diào)安全流程。

公共云中的滲透測(cè)試

CSA手冊(cè)著重于測(cè)試公共云環(huán)境中托管的系統(tǒng)和服務(wù)。例如,這可能包括托管在公共云IaaS服務(wù)中的自定義虛擬機(jī)。滲透測(cè)試會(huì)在支持應(yīng)用程序的云服務(wù)中查找缺陷、常見(jiàn)錯(cuò)誤配置和已知漏洞。這不是應(yīng)用程序級(jí)別的測(cè)試,或者測(cè)試基礎(chǔ)IaaS服務(wù)的安全性,但都可以分別進(jìn)行滲透測(cè)試。根據(jù)IaaS服務(wù)中托管的應(yīng)用程序的不同,應(yīng)用程序安全性可能是軟件供應(yīng)商的責(zé)任-無(wú)論是開(kāi)源的還是商業(yè)。企業(yè)應(yīng)該對(duì)涉及基礎(chǔ)IaaS服務(wù)或應(yīng)用程序的發(fā)現(xiàn)結(jié)果進(jìn)行評(píng)估,以確定是否應(yīng)將其報(bào)告給支持供應(yīng)商。

針對(duì)共享責(zé)任模型的滲透測(cè)試

范圍界定和共享責(zé)任模型也影響企業(yè)如何組織云端操作。你可能有OS團(tuán)隊(duì)負(fù)責(zé)某些部分,網(wǎng)絡(luò)團(tuán)隊(duì)負(fù)責(zé)負(fù)載平衡器,身份管理團(tuán)隊(duì)負(fù)責(zé)身份和訪問(wèn)管理等等。這些不同的小組應(yīng)與云安全團(tuán)隊(duì)或卓越云安全中心協(xié)作,以確保在IaaS環(huán)境中部署必要的安全控制??紤]到這種協(xié)調(diào)的復(fù)雜性,滲透測(cè)試可能有助于確定協(xié)調(diào)和所部署的技術(shù)安全控制方面的差距。

分解滲透測(cè)試說(shuō)明

該手冊(cè)最有價(jià)值的貢獻(xiàn)可能是云滲透測(cè)試用例和問(wèn)題部分。該手冊(cè)涵蓋常規(guī)滲透測(cè)試步驟,并在每個(gè)步驟中突出顯示特定于云端的信息。企業(yè)可以將這些步驟用作清單,以評(píng)估其公共云環(huán)境的配置。

測(cè)試用例包括特定步驟,這些步驟描述在哪里尋找特定配置設(shè)置,可用于獲得環(huán)境的最初立足點(diǎn)。當(dāng)黑客獲取訪問(wèn)權(quán)限,他們就可以橫向移動(dòng)以最終獲得特權(quán)升級(jí),從而完全破壞系統(tǒng)的安全性。在滲透測(cè)試前,更重要的事情是,在云端范圍內(nèi)部署安全控制。滲透測(cè)試可以檢查安全控制措施是否得到有效實(shí)施,并確定需要額外注意的區(qū)域。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)

精選文章

熱點(diǎn)資訊