4000-110-253
雲滲透測試的好處和(hé)挑戰. 2021-01-14
雲計(jì)算(suàn)從根本上(shàng)改變了信息安全的很(hěn)多(duō)方面,但(dàn)基本概念仍然适用,這包括安全程序的關鍵組件,例如滲透測試。
在風險管理(lǐ)中,重要部分是了解在何處以及如何對企業雲進行(xíng)滲透測試。定期對所有(yǒu)關鍵任務雲系統進行(xíng)滲透測試,有(yǒu)助于确定信息安全計(jì)劃中需要改進的地方。根據安全團隊的可(kě)用資源,他們可(kě)以在系統上(shàng)線前、運行(xíng)系統時(shí)甚至在設計(jì)過程中進行(xíng)滲透測試。
作(zuò)為(wèi)參考,雲安全聯盟(CSA)Top Threats工作(zuò)組發布《雲滲透測試手冊》,概述如何對公共雲環境中托管的系統和(hé)服務進行(xíng)滲透測試。該手冊探討(tǎo)了很(hěn)多(duō)問題,例如如何确定雲端滲透測試的範圍、如何在共享責任模型中執行(xíng)這些(xiē)測試以及雲滲透測試用例和(hé)問題等方面。
雲端滲透測試的獨特挑戰
雲滲透測試不同于普通(tōng)滲透測試。其中一個(gè)區(qū)别是,根據具體(tǐ)範圍,雲滲透測試可(kě)能包括與基礎托管服務提供商的協調。如果該滲透測試識别出基礎托管提供商中的漏洞,則可(kě)能需要阻止該提供商以防止攻擊者橫向移動。這樣可(kě)以最大(dà)程度地減少(shǎo)對其他客戶的潛在影(yǐng)響,并将發現的結果通(tōng)知給提供商。在大(dà)型分布式企業中,編排滲透測試的團隊需要識别所有(yǒu)受影(yǐng)響的團隊,并與他們協調安全流程。
公共雲中的滲透測試
CSA手冊着重于測試公共雲環境中托管的系統和(hé)服務。例如,這可(kě)能包括托管在公共雲IaaS服務中的自定義虛拟機。滲透測試會(huì)在支持應用程序的雲服務中查找缺陷、常見錯誤配置和(hé)已知漏洞。這不是應用程序級别的測試,或者測試基礎IaaS服務的安全性,但(dàn)都可(kě)以分别進行(xíng)滲透測試。根據IaaS服務中托管的應用程序的不同,應用程序安全性可(kě)能是軟件供應商的責任-無論是開(kāi)源的還(hái)是商業。企業應該對涉及基礎IaaS服務或應用程序的發現結果進行(xíng)評估,以确定是否應将其報告給支持供應商。
針對共享責任模型的滲透測試
範圍界定和(hé)共享責任模型也影(yǐng)響企業如何組織雲端操作(zuò)。你(nǐ)可(kě)能有(yǒu)OS團隊負責某些(xiē)部分,網絡團隊負責負載平衡器(qì),身份管理(lǐ)團隊負責身份和(hé)訪問管理(lǐ)等等。這些(xiē)不同的小(xiǎo)組應與雲安全團隊或卓越雲安全中心協作(zuò),以确保在IaaS環境中部署必要的安全控制(zhì)。考慮到這種協調的複雜性,滲透測試可(kě)能有(yǒu)助于确定協調和(hé)所部署的技(jì)術(shù)安全控制(zhì)方面的差距。
分解滲透測試說明(míng)
該手冊最有(yǒu)價值的貢獻可(kě)能是雲滲透測試用例和(hé)問題部分。該手冊涵蓋常規滲透測試步驟,并在每個(gè)步驟中突出顯示特定于雲端的信息。企業可(kě)以将這些(xiē)步驟用作(zuò)清單,以評估其公共雲環境的配置。
測試用例包括特定步驟,這些(xiē)步驟描述在哪裏尋找特定配置設置,可(kě)用于獲得(de)環境的最初立足點。當黑(hēi)客獲取訪問權限,他們就可(kě)以橫向移動以最終獲得(de)特權升級,從而完全破壞系統的安全性。在滲透測試前,更重要的事情是,在雲端範圍內(nèi)部署安全控制(zhì)。滲透測試可(kě)以檢查安全控制(zhì)措施是否得(de)到有(yǒu)效實施,并确定需要額外注意的區(qū)域。
轉自TechTarget中國 編譯
