云計算從根本上改變了信息安全的很多方面,但基本概念仍然適用,這包括安全程序的關(guān)鍵組件,例如滲透測試。
在風(fēng)險管理中,重要部分是了解在何處以及如何對企業(yè)云進(jìn)行滲透測試。定期對所有關(guān)鍵任務(wù)云系統進(jìn)行滲透測試,有助于確定信息安全計劃中需要改進(jìn)的地方。根據安全團隊的可用資源,他們可以在系統上線(xiàn)前、運行系統時(shí)甚至在設計過(guò)程中進(jìn)行滲透測試。
作為參考,云安全聯(lián)盟(CSA)Top Threats工作組發(fā)布《云滲透測試手冊》,概述如何對公共云環(huán)境中托管的系統和服務(wù)進(jìn)行滲透測試。該手冊探討了很多問(wèn)題,例如如何確定云端滲透測試的范圍、如何在共享責任模型中執行這些測試以及云滲透測試用例和問(wèn)題等方面。
云端滲透測試的獨特挑戰
云滲透測試不同于普通滲透測試。其中一個(gè)區別是,根據具體范圍,云滲透測試可能包括與基礎托管服務(wù)提供商的協(xié)調。如果該滲透測試識別出基礎托管提供商中的漏洞,則可能需要阻止該提供商以防止攻擊者橫向移動(dòng)。這樣可以最大程度地減少對其他客戶(hù)的潛在影響,并將發(fā)現的結果通知給提供商。在大型分布式企業(yè)中,編排滲透測試的團隊需要識別所有受影響的團隊,并與他們協(xié)調安全流程。
公共云中的滲透測試
CSA手冊著(zhù)重于測試公共云環(huán)境中托管的系統和服務(wù)。例如,這可能包括托管在公共云IaaS服務(wù)中的自定義虛擬機。滲透測試會(huì )在支持應用程序的云服務(wù)中查找缺陷、常見(jiàn)錯誤配置和已知漏洞。這不是應用程序級別的測試,或者測試基礎IaaS服務(wù)的安全性,但都可以分別進(jìn)行滲透測試。根據IaaS服務(wù)中托管的應用程序的不同,應用程序安全性可能是軟件供應商的責任-無(wú)論是開(kāi)源的還是商業(yè)。企業(yè)應該對涉及基礎IaaS服務(wù)或應用程序的發(fā)現結果進(jìn)行評估,以確定是否應將其報告給支持供應商。
針對共享責任模型的滲透測試
范圍界定和共享責任模型也影響企業(yè)如何組織云端操作。你可能有OS團隊負責某些部分,網(wǎng)絡(luò )團隊負責負載平衡器,身份管理團隊負責身份和訪(fǎng)問(wèn)管理等等。這些不同的小組應與云安全團隊或卓越云安全中心協(xié)作,以確保在IaaS環(huán)境中部署必要的安全控制??紤]到這種協(xié)調的復雜性,滲透測試可能有助于確定協(xié)調和所部署的技術(shù)安全控制方面的差距。
分解滲透測試說(shuō)明
該手冊最有價(jià)值的貢獻可能是云滲透測試用例和問(wèn)題部分。該手冊涵蓋常規滲透測試步驟,并在每個(gè)步驟中突出顯示特定于云端的信息。企業(yè)可以將這些步驟用作清單,以評估其公共云環(huán)境的配置。
測試用例包括特定步驟,這些步驟描述在哪里尋找特定配置設置,可用于獲得環(huán)境的最初立足點(diǎn)。當黑客獲取訪(fǎng)問(wèn)權限,他們就可以橫向移動(dòng)以最終獲得特權升級,從而完全破壞系統的安全性。在滲透測試前,更重要的事情是,在云端范圍內部署安全控制。滲透測試可以檢查安全控制措施是否得到有效實(shí)施,并確定需要額外注意的區域。
責編AJX
-
云計算
+關(guān)注
關(guān)注
38文章
7475瀏覽量
136075 -
信息安全
+關(guān)注
關(guān)注
5文章
629瀏覽量
38754
發(fā)布評論請先 登錄
相關(guān)推薦
評論