云計(jì)算滲透測試是通過模擬惡意代碼的攻擊,主動檢查云系統(tǒng)安全的一種方式。
由于對基礎(chǔ)設(shè)施的影響,滲透測試往往不適合SaaS環(huán)境,這在PAAS和IAA中是允許的,但需要一些協(xié)調(diào)。
云計(jì)算滲透測試屬于定期安全監(jiān)控,用于監(jiān)控威脅、風(fēng)險(xiǎn)和漏洞的存在。 SLA 合同將指定允許的滲透測試類型以及執(zhí)行頻率。
為幫助企業(yè)安全監(jiān)管人員高效實(shí)施云計(jì)算安全測試,我們整理了云計(jì)算滲透測試速查清單及相關(guān)重要注意事項(xiàng)如下:
一、云計(jì)算滲透測試清單
1.檢查服務(wù)水平協(xié)議,確保云服務(wù)提供商(CSP)與客戶之間已達(dá)成相關(guān)政策;
2.為維護(hù)治理和合規(guī)性,檢查云服務(wù)提供商和訂閱者之間的適當(dāng)責(zé)任;
3.查看服務(wù)水平協(xié)議文件,跟蹤C(jī)SP記錄,確定維護(hù)云資源的角色和職責(zé);
4.檢查計(jì)算機(jī)和互聯(lián)網(wǎng)使用政策,確保已按照正確的政策執(zhí)行;
5.檢查未使用的端口和協(xié)議,確保相關(guān)服務(wù)被屏蔽;
6.檢查存儲在云服務(wù)器中的數(shù)據(jù)是否默認(rèn)加密;
7.檢查使用的雙因素認(rèn)證并驗(yàn)證OTP以確保網(wǎng)絡(luò)安全;
8.檢查URL中云服務(wù)SSL證書的有效性,確保證書是從正規(guī)認(rèn)證機(jī)構(gòu)(Comodo、enter、GeoTrust、Symantec、Thawte等)購買的;
9.檢查接入點(diǎn)、數(shù)據(jù)中心和設(shè)備的組件,進(jìn)行適當(dāng)?shù)陌踩刂疲?/p>
10.檢查向第三方披露數(shù)據(jù)的政策和程序;
11.必要時檢查CSP是否提供克隆和虛擬機(jī);
12.檢查云應(yīng)用的正確輸入驗(yàn)證,避免Web應(yīng)用攻擊,如XSS、CSRF、sqli等。
二、云計(jì)算攻擊
跨站請求
CSRF 是一種旨在誘使受害者提交惡意請求以作為用戶執(zhí)行某些任務(wù)的攻擊。
繞過攻擊
這種類型的攻擊是云獨(dú)有的,可以是非常具有破壞性的,但需要技巧和一點(diǎn)運(yùn)氣。這種形式的攻擊試圖利用受害者使用云中共享資源的事實(shí)來間接破壞受害者的機(jī)密性。
簽名封裝攻擊
這種類型的攻擊并不是云環(huán)境獨(dú)有的,但它仍然是一種危及 Web 應(yīng)用程序安全的危險(xiǎn)方式。基本上,簽名封裝攻擊依賴于 Web 服務(wù)中使用的技術(shù)的使用。
云環(huán)境中的其他攻擊
使用網(wǎng)絡(luò)嗅探器劫持服務(wù)
使用 XSS 攻擊的會話劫持
DNS攻擊
SQL注入攻擊
密碼分析攻擊
Dos 和分布式 DoS 攻擊
三、云滲透測試的重要考慮
1.對云環(huán)境中的可用主機(jī)進(jìn)行漏洞掃描;
2.確定云類型、SaaS、IAA 或 PAAS;
3.確定云服務(wù)商允許的測試類型;
4.檢查CSP測試的協(xié)調(diào)、安排和執(zhí)行;
5.實(shí)施內(nèi)外滲透;
6.獲得進(jìn)行滲透測試的書面同意;
7.對沒有防火墻和反向代理的Web應(yīng)用/服務(wù)進(jìn)行Web滲透測試。
四、云滲透測試重要建議
1.使用用戶名和密碼驗(yàn)證用戶;
2.通過關(guān)注服務(wù)提供商政策來保護(hù)編碼政策;
3.使用增強(qiáng)密碼策略前必須告知用戶;
4.敏感信息定期更改,如云提供商分配的用戶賬號和密碼;
5.保留滲透測試過程中發(fā)現(xiàn)的信息漏洞;
6.測試密碼使用加密協(xié)議;
7.SaaS應(yīng)用采用集中認(rèn)證或單點(diǎn)登錄;
8.使用最新的安全協(xié)議。
以上就是云計(jì)算滲透測試的考慮因素與建議,希望能幫助到大家。
Copyright ? 2013-2020. All Rights Reserved. 恒訊科技 深圳市恒訊科技有限公司 粵ICP備20052954號 IDC證:B1-20230800.移動站