滲透測試可以幫助企業(yè)將他們在公有云環(huán)境中的漏洞找出來。但是針對AWS、谷歌和Azure的測試需求有什么不同呢?

[[155145]]

很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項滲透測試之前，理解你的云供應(yīng)商的唯一測試需求很重要。

滲透測試模仿了實際的攻擊，因此在執(zhí)行之前要和云供應(yīng)商進行協(xié)調(diào)。下面是在亞馬遜Web服務(wù)(AWS)、谷歌計算引擎和微軟Azure上執(zhí)行一項云滲透測試之前需要知道的一些事情。

對于AWS，客戶必須在進行測試前提交申請表。這個審批表收集了一些信息，關(guān)于誰將執(zhí)行測試、第三方聯(lián)系信息、已掃描的服務(wù)器IP地址以及掃描源和測試的預(yù)計時間和日期?？蛻舨荒茉趍1.small或者t1.micro實例上進行測試或者其他的掃描。這是為了避免對于其他共享相同服務(wù)器的客戶造成負面影響。

谷歌計算引擎和應(yīng)用引擎的用戶在執(zhí)行云滲透測試之前，需要咨詢《服務(wù)條款和可接受使用策略》。谷歌明確聲明這項測試應(yīng)該只影響測試者的應(yīng)用，而不是其他用戶或者服務(wù)。谷歌也有一個漏洞獎勵項目來獎勵發(fā)現(xiàn)了谷歌應(yīng)用或者服務(wù)漏洞的安全搜查員和專家;然而，并不適用于第三方應(yīng)用。

微軟有一套正規(guī)的程序來批準云滲透測試請求。云供應(yīng)商要求客戶至少在滲透測試前七天提交請求。如果你發(fā)現(xiàn)了一項Azure的潛在漏洞，應(yīng)該報告給微軟。微軟對于三種常見的漏洞提供加快審批：OWASP top 10 Web測試、模糊測試端點以及端口掃描。微軟不允許拒絕服務(wù)測試。

云滲透測試在云計算適當?shù)念I(lǐng)域是一個有用的工具。共享的云安全模型引入了一些額外的協(xié)調(diào)挑戰(zhàn)，但是值得嘗試。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91195.htm