云計(jì)算滲透測(cè)試是通過模擬惡意代碼的攻擊,主動(dòng)檢查云系統(tǒng)安全的一種方式���。
由于對(duì)基礎(chǔ)設(shè)施的影響�,滲透測(cè)試往往不適合SaaS環(huán)境�,這在PAAS和IAA中是允許的,但需要一些協(xié)調(diào)�����。
云計(jì)算滲透測(cè)試屬于定期安全監(jiān)控�����,用于監(jiān)控威脅����、風(fēng)險(xiǎn)和漏洞的存在。 SLA 合同將指定允許的滲透測(cè)試類型以及執(zhí)行頻率���。
為幫助企業(yè)安全監(jiān)管人員高效實(shí)施云計(jì)算安全測(cè)試�����,我們整理了云計(jì)算滲透測(cè)試速查清單及相關(guān)重要注意事項(xiàng)如下:
一���、云計(jì)算滲透測(cè)試清單
1.檢查服務(wù)水平協(xié)議�,確保云服務(wù)提供商(CSP)與客戶之間已達(dá)成相關(guān)政策�;
2.為維護(hù)治理和合規(guī)性,檢查云服務(wù)提供商和訂閱者之間的適當(dāng)責(zé)任���;
3.查看服務(wù)水平協(xié)議文件����,跟蹤C(jī)SP記錄���,確定維護(hù)云資源的角色和職責(zé)��;
4.檢查計(jì)算機(jī)和互聯(lián)網(wǎng)使用政策����,確保已按照正確的政策執(zhí)行�;
5.檢查未使用的端口和協(xié)議�����,確保相關(guān)服務(wù)被屏蔽����;
6.檢查存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)是否默認(rèn)加密���;
7.檢查使用的雙因素認(rèn)證并驗(yàn)證OTP以確保網(wǎng)絡(luò)安全;
8.檢查URL中云服務(wù)SSL證書的有效性��,確保證書是從正規(guī)認(rèn)證機(jī)構(gòu)(Comodo�����、enter���、GeoTrust����、Symantec����、Thawte等)購(gòu)買的;
9.檢查接入點(diǎn)���、數(shù)據(jù)中心和設(shè)備的組件�����,進(jìn)行適當(dāng)?shù)陌踩刂疲?/p>
10.檢查向第三方披露數(shù)據(jù)的政策和程序�;
11.必要時(shí)檢查CSP是否提供克隆和虛擬機(jī);
12.檢查云應(yīng)用的正確輸入驗(yàn)證����,避免Web應(yīng)用攻擊,如XSS�����、CSRF�����、sqli等����。
二、云計(jì)算攻擊
跨站請(qǐng)求
CSRF 是一種旨在誘使受害者提交惡意請(qǐng)求以作為用戶執(zhí)行某些任務(wù)的攻擊���。
繞過攻擊
這種類型的攻擊是云獨(dú)有的�,可以是非常具有破壞性的�����,但需要技巧和一點(diǎn)運(yùn)氣��。這種形式的攻擊試圖利用受害者使用云中共享資源的事實(shí)來間接破壞受害者的機(jī)密性���。
簽名封裝攻擊
這種類型的攻擊并不是云環(huán)境獨(dú)有的���,但它仍然是一種危及 Web 應(yīng)用程序安全的危險(xiǎn)方式�;旧希灻庋b攻擊依賴于 Web 服務(wù)中使用的技術(shù)的使用����。
云環(huán)境中的其他攻擊
使用網(wǎng)絡(luò)嗅探器劫持服務(wù)
使用 XSS 攻擊的會(huì)話劫持
DNS攻擊
SQL注入攻擊
密碼分析攻擊
Dos 和分布式 DoS 攻擊
三、云滲透測(cè)試的重要考慮
1.對(duì)云環(huán)境中的可用主機(jī)進(jìn)行漏洞掃描�����;
2.確定云類型�����、SaaS�、IAA 或 PAAS;
3.確定云服務(wù)商允許的測(cè)試類型;
4.檢查CSP測(cè)試的協(xié)調(diào)��、安排和執(zhí)行��;
5.實(shí)施內(nèi)外滲透�;
6.獲得進(jìn)行滲透測(cè)試的書面同意;
7.對(duì)沒有防火墻和反向代理的Web應(yīng)用/服務(wù)進(jìn)行Web滲透測(cè)試���。
四�、云滲透測(cè)試重要建議
1.使用用戶名和密碼驗(yàn)證用戶���;
2.通過關(guān)注服務(wù)提供商政策來保護(hù)編碼政策�;
3.使用增強(qiáng)密碼策略前必須告知用戶��;
4.敏感信息定期更改����,如云提供商分配的用戶賬號(hào)和密碼;
5.保留滲透測(cè)試過程中發(fā)現(xiàn)的信息漏洞�;
6.測(cè)試密碼使用加密協(xié)議;
7.SaaS應(yīng)用采用集中認(rèn)證或單點(diǎn)登錄�;
8.使用最新的安全協(xié)議。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
