云计算渗透测试是通过攻击模拟恶意代码来积极检查云系统安全的一种方法。
渗透试验往往不适用于基础设施的影响SaaS环境,在PaaS、IaaS允许,但需要一些协调。
云计算的渗透风险和漏洞的存在风险和漏洞的存在进行定期安全监控。SLA合同将规定允许进行哪种类型的渗透试验,以及可以进行多长时间。
为帮助企业安全主管高效实施云计算安全试验,我们整理了云计算渗透试验的快速检查清单及相关重要注意事项:
1.云计算渗透测试清单
(1) 检查服务水平协议,确保云服务提供商(CSP)与客户达成相关政策;
(2) 检查云服务提供商与订阅者之间的适当责任,以维护治理和合规性;
(3)检查服务水平协议文件,跟踪CSP确定维护云资源的作用和责任;
(4) 检查计算机和互联网的使用政策,确保按照正确的政策实施;
(5)检查未使用的端口和协议,确保相关服务应停止;
(6) 检查云服务器中存储的数据是否默认加密;
(7) 检查双因素身份验证,验证OTP确保网络安全;
(8) 检查URL中云服务的SSL证书的有效性,并从正式的证书颁发机构确保(COMODO、Entrust、GeoTrust、Symantec、Thawte 等)购买证书;
(9) 使用适当的安全控制检查接入点、数据中心和设备组件;
(10) 检查向第三方披露数据的政策和程序;
(11) 检查CSP必要时是否提供克隆和虚拟机;
(12) 检查云应用程序的正确输入验证,避免Web例如,应用程序攻击XSS、CSRF、SQLi等。
二、云计算攻击
(1) 跨站请求
CSRF目的是诱使受害者提交恶意请求作为用户执行某些任务。
(2) 旁路攻击
这种攻击对云来说是独一无二的,可能是破坏性的,但它需要技能和运气。这种形式的攻击试图通过利用受害者在云中共享资源的事实间接破坏受害者的秘密。
(3) 签名封装攻击
这种攻击在云环境中并不独特,但仍然是一种危险Web应用程序安全的危险方法。基本上,签名包装攻击依赖于对Web利用服务中使用的技术。
- 云环境中的其他攻击
- 使用网络嗅探服务劫持
- 使用XSS会话劫持攻击
- 域名系统(DNS)攻击
- SQL注入攻击
- 攻击密码分析
- 拒绝服务(DoS)和分布式DoS攻击
三、云渗透测试的重要考虑因素
(1) 在云环境中可用主机上进行漏洞扫描;
(2) 确定云的类型SaaS、IaaS还是PaaS;
(3) 确定云服务提供商允许的测试类型;
(4) 检查CSP协调、安排和实施测试;
(5) 内外渗透;
(6) 获得执行渗透测试的书面同意;
(7) 没有防火墙和反向代理Web应用程序/服务执行Web渗透测试。
四、云渗透试验的重要建议
(1)用户名和密码验证用户;
(2) 通过关注服务提供商政策来保护编码政策;
(3) 在使用强化密码策略之前必须通知用户;
(4) 定期更改敏感信息,如用户账户名和云提供商分配的密码;
(5) 在渗透试验过程中发现的信息漏洞保存;
(6) 加密协议用于测试密码;
(7) 针对SaaS集中身份验证或单点登录应用程序;
(8) 使用最新的安全协议。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看该作者更多好文