云计算渗透测试是一种通过模拟恶意代码的攻击,主动检查云系统安全性的方法。由于对基础设施的影响,渗透测试往往不适用于SaaS环境,在PaaS、IaaS中是允许的,但需要一定的配合。云计算渗透测试是定期安全监控的一部分,用于检测是否存在威胁、风险和漏洞。SLA合同将指定允许进行何种类型的渗透测试以及可以进行的频率。为了帮助企业安全主管高效实施云计算安全测试,我们编制了一份云计算渗透测试快速检查表及相关重要注意事项如下:1.云计算渗透测试检查表(1)检查服务水平协议,确保云服务提供商(CSP)和客户之间已经约定了相关政策;(2)为维护治理和合规性,检查云服务提供商和用户之间的适当问责制;(3)检查服务水平协议文件和CSP的跟踪记录,确定维护云资源的角色和职责;(4)检查计算机和互联网使用政策并确保执行正确的政策;(5)检查未使用的端口和协议,并确保相关服务应被阻止;(6)检查云服务器存储的数据是否默认加密;(7)检查使用的双因素认证,并验证OTP以确保网络安全;(8)检查URL中云服务SSL证书的有效性,确保来自官方(COMODO、Entrust、GeoTrust、Symantec、Thawte等);(9)检查接入点、数据中心、具有适当安全控制的设备组件;(10)检查向第三方披露数据的政策和程序;(11)检查CSP是否在需要时提供克隆和虚拟机;(12)为云应用检查正确的输入验证,避免Web应用攻击,如XSS、CSRF、SQLi等。云计算攻击(一)跨站请求CSRF是一种旨在诱导受害者提交恶意请求以用户身份执行某些任务的攻击。(2)SideChannelAttacks这种攻击是云特有的,破坏力很大,但需要一定的技巧和一定的运气。这种形式的攻击试图通过利用受害者使用云中的共享资源这一事实来间接损害受害者的机密性。(3)签名封装攻击这种类型的攻击并不是云环境独有的,但它仍然是一种危及Web应用程序安全的危险方法。基本上,签名包装攻击依赖于对Web服务中使用的技术的利用。云环境中的其他攻击使用网络嗅探的服务劫持使用XSS攻击的会话劫持域名系统(DNS)攻击SQL注入攻击密码分析攻击拒绝服务(DoS)和分布式DoS攻击III.云渗透测试的重要注意事项(1)对云环境中的可用主机进行漏洞扫描;(2)确定云的类型,是SaaS、IaaS还是PaaS;(3)确定云服务提供商允许的测试类型;(4)检查CSP的协调性,安排和执行测试;(5)进行内外渗透;(6)获得进行渗透测试的书面同意;(7)在没有防火墙和反向代理的情况下对网络应用程序/服务进行网络渗透测试。4.云渗透测试重要建议(1)使用用户名和密码对用户进行认证;(2)通过关注服务提供商政策来保护编码政策;(3)在采用强化密码政策之前必须告知用户;(4)敏感信息的周期性变更,例如云提供商分配的用户账户名、密码;(5)保存渗透测试发现的信息漏洞;(6)对测试密码使用加密协议;(7)采用集中认证或单点登录;(8)使用最新的安全协议。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
