云計算滲透測試是一種通過模擬惡意代碼的攻擊來主動檢查云系統(tǒng)安全的方法。

由于對基礎(chǔ)設(shè)施的影響，滲透測試往往不適用于SaaS環(huán)境，在PaaS、IaaS中是允許的，但是需要一些協(xié)調(diào)。

[[407302]]

云計算的滲透測試屬于定期安全監(jiān)控，以監(jiān)控威脅、風(fēng)險和漏洞的存在。而SLA合同將規(guī)定允許哪種類型的滲透測試，以及可以多久進行一次。

為了幫助企業(yè)安全主管高效實施云計算安全測試，以下我們整理了云計算滲透測試的快查清單以及相關(guān)重要注意事項：

一、云計算滲透測試清單

(1) 檢查服務(wù)水平協(xié)議并確保云服務(wù)提供商(CSP)和客戶之間已達成相關(guān)政策;

(2) 為維護治理與合規(guī)性，檢查云服務(wù)提供商和訂閱者之間的適當(dāng)責(zé)任;

(3) 檢查服務(wù)水平協(xié)議文件并跟蹤CSP的記錄，確定維護云資源的角色和責(zé)任;

(4) 檢查計算機和互聯(lián)網(wǎng)使用政策，并確保已按照正確的政策實施;

(5) 檢查未使用的端口和協(xié)議，并確保應(yīng)阻止相關(guān)服務(wù);

(6) 檢查存儲在云服務(wù)器中的數(shù)據(jù)是否默認(rèn)加密;

(7) 檢查使用的雙因素身份驗證，并驗證OTP以確保網(wǎng)絡(luò)安全;

(8) 檢查URL中云服務(wù)的SSL證書有效性，并確保是從正式的證書頒發(fā)機構(gòu)(COMODO、Entrust、GeoTrust、Symantec、Thawte 等)購買的證書;

(9) 使用適當(dāng)?shù)陌踩刂茩z查接入點、數(shù)據(jù)中心、設(shè)備的組件;

(10) 檢查向第三方披露數(shù)據(jù)的政策和程序;

(11) 檢查CSP是否在需要時提供克隆和虛擬機;

(12) 檢查云應(yīng)用程序的正確輸入驗證，以避免Web應(yīng)用程序攻擊，例如XSS、CSRF、SQLi等。

二、云計算攻擊

(1) 跨站請求

CSRF是一種旨在誘使受害者提交惡意請求以作為用戶執(zhí)行某些任務(wù)的攻擊。

(2) 旁路攻擊

這種類型的攻擊對于云來說是獨一無二的，并且可能非常具有破壞性，但它需要技巧和一定的運氣。這種形式的攻擊試圖通過利用受害者使用云中共享資源的事實來間接破壞受害者的機密性。

(3) 簽名封裝攻擊

該類型的攻擊并非云環(huán)境獨有，但仍然是一種危及Web應(yīng)用程序安全性的危險方法。基本上，簽名封裝攻擊依賴于對Web服務(wù)中使用的技術(shù)的利用。

• 云環(huán)境中的其它攻擊
• 使用網(wǎng)絡(luò)嗅探進行服務(wù)劫持
• 使用XSS攻擊的會話劫持
• 域名系統(tǒng)(DNS)攻擊
• SQL注入攻擊
• 密碼分析攻擊
• 拒絕服務(wù)(DoS)和分布式DoS攻擊

三、云滲透測試的重要考慮因素

(1) 在云環(huán)境中的可用主機上執(zhí)行漏洞掃描;

(2) 確定云的類型，是SaaS、IaaS還是PaaS;

(3) 確定云服務(wù)提供商允許的測試類型;

(4) 檢查CSP的協(xié)調(diào)、安排和執(zhí)行測試;

(5) 執(zhí)行內(nèi)部和外部滲透;

(6) 獲得執(zhí)行滲透測試的書面同意;

(7) 在沒有防火墻和反向代理的情況下對Web應(yīng)用程序/服務(wù)執(zhí)行Web滲透測試。

四、云滲透測試的重要建議

(1) 使用用戶名和密碼驗證用戶;

(2) 通過關(guān)注服務(wù)提供商政策來保護編碼政策;

(3) 采用強化的密碼策略前必須告知用戶;

(4) 敏感信息定期更改，例如用戶帳戶名、云提供商分配的密碼;

(5) 保存在滲透測試過程中發(fā)現(xiàn)的信息漏洞;

(6) 對測試的密碼使用加密協(xié)議;

(7) 針對SaaS應(yīng)用程序使用集中式身份驗證或單點登錄;

(8) 使用最新的安全協(xié)議。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文