• 解决方案
  • 多通道通信传输解决方案
  • 5G超高清视频传输解决方案
  • 跨境安全通信解决方案
  • 移动通信网络融合解决方案
  • 勤务通信保障系统
  • 训练基地导调通信优选系统
  • 装备信息安全传输支持系统
  • 安全组网通信系统解决方案
  • 软件测评
  • 技术支持
  • 服务介绍
  • 在线下载

  • 关于我们
  • 公司介绍
  • 企业文化
  • 发展历程
  • 荣誉资质
  • 组织架构
  • 联系我们
  • 新闻中心

    人才招聘

    党政建设

  • 售后服务
    服务介绍
  • 在线下载
    PDF下载
  • 公司概况
    公司介绍企业文化发展历程荣誉资质组织架构联系我们
  • 新闻中心
    企业新闻行业动态技术研究
  • 人才招聘
    社会招聘校园招聘人才推荐
  • 党政建设
    支部动态连山人物网评博文公告通知专题活动
  • 新闻中心News center

    云渗透测试的好处和挑战

    2021-01-11

    云计算从根本上改变了信息安全的很多方面,但基本概念仍然适用,这包括安全程序的关键组件,例如渗透测试。

    在风险管理中,重要部分是了解在何处以及如何对企业云进行渗透测试。定期对所有关键任务云系统进行渗透测试,有助于确定信息安全计划中需要改进的地方。根据安全团队的可用资源,他们可以在系统上线前、运行系统时甚至在设计过程中进行渗透测试。

    作为参考,云安全联盟(CSA)Top Threats工作组发布《云渗透测试手册》,概述如何对公共云环境中托管的系统和服务进行渗透测试。该手册探讨了很多问题,例如如何确定云端渗透测试的范围、如何在共享责任模型中执行这些测试以及云渗透测试用例和问题等方面。

    云端渗透测试的独特挑战

    云渗透测试不同于普通渗透测试。其中一个区别是,根据具体范围,云渗透测试可能包括与基础托管服务提供商的协调。如果该渗透测试识别出基础托管提供商中的漏洞,则可能需要阻止该提供商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响,并将发现的结果通知给提供商。在大型分布式企业中,编排渗透测试的团队需要识别所有受影响的团队,并与他们协调安全流程。

    公共云中的渗透测试

    CSA手册着重于测试公共云环境中托管的系统和服务。例如,这可能包括托管在公共云IaaS服务中的自定义虚拟机。渗透测试会在支持应用程序的云服务中查找缺陷、常见错误配置和已知漏洞。这不是应用程序级别的测试,或者测试基础IaaS服务的安全性,但都可以分别进行渗透测试。根据IaaS服务中托管的应用程序的不同,应用程序安全性可能是软件供应商的责任-无论是开源的还是商业。企业应该对涉及基础IaaS服务或应用程序的发现结果进行评估,以确定是否应将其报告给支持供应商。

    针对共享责任模型的渗透测试

    范围界定和共享责任模型也影响企业如何组织云端操作。你可能有OS团队负责某些部分,网络团队负责负载平衡器,身份管理团队负责身份和访问管理等等。这些不同的小组应与云安全团队或卓越云安全中心协作,以确保在IaaS环境中部署必要的安全控制。考虑到这种协调的复杂性,渗透测试可能有助于确定协调和所部署的技术安全控制方面的差距。

    分解渗透测试说明

    该手册最有价值的贡献可能是云渗透测试用例和问题部分。该手册涵盖常规渗透测试步骤,并在每个步骤中突出显示特定于云端的信息。企业可以将这些步骤用作清单,以评估其公共云环境的配置。

    测试用例包括特定步骤,这些步骤描述在哪里寻找特定配置设置,可用于获得环境的最初立足点。当黑客获取访问权限,他们就可以横向移动以最终获得特权升级,从而完全破坏系统的安全性。在渗透测试前,更重要的事情是,在云端范围内部署安全控制。渗透测试可以检查安全控制措施是否得到有效实施,并确定需要额外注意的区域。
     

    作者:邹铮 编译来源:TechTarget中国图片源自网络;

    郑重声明:本站系本网编辑转载,转载目的在于传递更多信息。如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容!本站拥有对此声明的最终解释权。

  • TOP

  • 联系我们

    北京连山科技股份有限公司010-5984 0001周一至周五 9:00-18:00北京市海淀区北清路68号院北区17号楼三层