云计算从根本上改变了信息安全的许多方面,但基本概念仍然适用,这包括渗透测试等安全程序的关键组成部分。风险管理的一个重要部分是了解在何处以及如何在企业云上进行渗透测试。定期对所有关键任务云系统进行渗透测试可以帮助确定信息安全计划中需要改进的地方。根据安全团队可用的资源,他们可以在系统上线前、系统运行时甚至在设计过程中进行渗透测试。作为参考,云安全联盟(CSA)顶级威胁工作组发布了《云渗透测试手册》,概述了如何对托管在公共云环境中的系统和服务进行渗透测试。该手册探讨了诸如如何确定云渗透测试范围、如何在共享责任模型中执行这些测试以及云渗透测试用例和问题等问题。云渗透测试的独特挑战云渗透测试不同于普通渗透测试。其中一个区别是,根据范围,云渗透测试可能包括与底层托管服务提供商的协调。如果此渗透测试发现底层托管提供商存在漏洞,则可能需要阻止该提供商以防止攻击者横向移动。这最大限度地减少了对其他客户的潜在影响,并将调查结果通知供应商。在大型分布式企业中,协调渗透测试的团队需要确定所有受影响的团队并与他们协调安全流程。公共云中的渗透测试CSAPlaybook侧重于测试公共云环境中托管的系统和服务。例如,这可能包括托管在公共云IaaS服务中的自定义虚拟机。渗透测试寻找支持应用程序的云服务中的缺陷、常见错误配置和已知漏洞。这不是应用程序级测试,也不是测试底层IaaS服务的安全性,但两者都可以单独进行渗透测试。根据IaaS服务中托管的应用程序,应用程序安全可能是软件供应商的责任——无论是开源软件还是商业软件。组织应评估涉及基础IaaS服务或应用程序的调查结果,以确定是否应将其报告给支持提供商。共享责任模型的渗透测试范围界定和共享责任模型也会影响企业组织云运营的方式。您可能让操作系统团队负责某些部分,让网络团队负责负载均衡器,让身份管理团队负责身份和访问管理,等等。这些不同的团队应与云安全团队或云安全卓越中心协作,以确保在IaaS环境中实施必要的安全控制。鉴于这种协调的复杂性,渗透测试可能有助于识别协调和部署的技术安全控制方面的差距。分解渗透测试说明也许手册最有价值的贡献是云渗透测试案例和问题部分。该剧本涵盖了一般的渗透测试步骤,并在每个步骤中突出显示了特定于云的信息。企业可以将这些步骤用作清单来评估其公共云环境的配置。测试用例包括描述在何处查找特定配置设置的特定步骤,这些设置可用于在环境中获得初始立足点。当黑客获得访问权限时,他们可以横向移动以最终获得特权升级,从而完全危及系统的安全性。在渗透测试之前,更重要的是在云范围内部署安全控制。渗透测试可以检查安全控制是否得到有效实施,并确定需要额外注意的领域。
