解释云计算的云渗透测试

云计算从根本上改变了信息安全的许多方面，但基本概念仍然适用。这包括安全程序的关键组件，例如渗透测试。
在风险管理中，重要的部分是了解在何处以及如何在企业云上进行渗透测试。对所有关键任务云系统进行定期渗透测试可以帮助确定需要改进信息安全计划的领域。
根据安全团队的可用资源，他们可以在系统上线之前，运行期间甚至在设计过程中执行渗透测试。作为参考，云安全联盟（CSA）TopThreats工作组发布了“云渗透测试手册”，其中概述了如何对公共云环境中托管的系统和服务进行渗透测试。
该手册讨论了许多问题，例如如何确定云渗透测试的范围，如何在共享责任模型中执行这些测试以及云渗透测试的案例和问题。云渗透测试的独特挑战云渗透测试与普通渗透测试不同。
差异之一是，根据特定范围，云渗透测试可能包括与基础托管服务提供商的协调。如果渗透测试确定了底层托管提供程序中的漏洞，则可能有必要阻止提供程序以防止攻击者横向移动。
这样可以最大程度地减少对其他客户的潜在影响，并将发现的结果通知提供商。在大型分布式企业中，负责组织渗透测试的团队需要确定所有受影响的团队，并与他们协调安全流程。
《 CSA公共云渗透测试手册》重点介绍了公共云环境中托管的测试系统和服务。例如，这可能包括公共云IaaS服务中托管的自定义虚拟机。
渗透测试在支持应用程序的云服务中查找缺陷，常见的错误配置和已知漏洞。这不是应用程序级别的测试，也不是测试基本IaaS服务的安全性，而是可以单独执行渗透测试。
取决于IaaS服务中托管的应用程序，应用程序安全性可能是软件供应商的责任-无论是开源的还是商业的。公司应评估与基本IaaS服务或应用程序相关的发现，以确定是否应将其报告给支持提供商。
共享责任模型和共享责任模型的渗透测试的范围也影响公司组织云计算操作的方式。您可能有一个OS团队负责某些部分，一个网络团队负责负载平衡器，一个身份管理团队负责身份和访问管理，等等。
这些不同的团队应与云安全团队或卓越云安全中心合作，以确保在IaaS环境中部署必要的安全控制。考虑到这种协调的复杂性，渗透测试可能有助于确定协调方面的差距以及所部署技术的安全控制。
分解渗透测试表明，该手册最有价值的贡献可能是云渗透测试案例和问题部分。该手册涵盖了常规渗透测试步骤，并重点介绍了每个步骤中特定于云的信息。
公司可以将这些步骤用作检查清单，以评估其公共云环境的配置。测试用例包括一些特定步骤，这些步骤描述了在哪里寻找可以用于在环境中立足的特定配置设置。
当黑客获得访问权限时，他们可以横向移动以最终获得特权升级，从而完全破坏了系统的安全性。在进行渗透测试之前，更重要的是在云中部署安全控制。
渗透测试可以检查安全控制措施是否得到有效实施，并确定需要额外注意的领域。负责编辑AJX