鄒錚 發表於 2021-01-11 15:38:59
雲計算從根本上改變了信息安全的很多方面,但基本概念仍然適用,這包括安全程序的關鍵組件,例如滲透測試。
在風險管理中,重要部分是了解在何處以及如何對企業雲進行滲透測試。定期對所有關鍵任務雲系統進行滲透測試,有助於確定信息安全計劃中需要改進的地方。根據安全團隊的可用資源,他們可以在系統上線前、運行系統時甚至在設計過程中進行滲透測試。
作為參考,雲安全聯盟(CSA)Top Threats工作組發布《雲滲透測試手冊》,概述如何對公共雲環境中託管的系統和服務進行滲透測試。該手冊探討了很多問題,例如如何確定雲端滲透測試的範圍、如何在共享責任模型中執行這些測試以及雲滲透測試用例和問題等方面。
雲端滲透測試的獨特挑戰
雲滲透測試不同於普通滲透測試。其中一個區別是,根據具體範圍,雲滲透測試可能包括與基礎託管服務提供商的協調。如果該滲透測試識別出基礎託管提供商中的漏洞,則可能需要阻止該提供商以防止攻擊者橫向移動。這樣可以最大程度地減少對其他客戶的潛在影響,並將發現的結果通知給提供商。在大型分布式企業中,編排滲透測試的團隊需要識別所有受影響的團隊,並與他們協調安全流程。
公共雲中的滲透測試
CSA手冊著重於測試公共雲環境中託管的系統和服務。例如,這可能包括託管在公共雲IaaS服務中的自定義虛擬機。滲透測試會在支持應用程式的雲服務中查找缺陷、常見錯誤配置和已知漏洞。這不是應用程式級別的測試,或者測試基礎IaaS服務的安全性,但都可以分別進行滲透測試。根據IaaS服務中託管的應用程式的不同,應用程式安全性可能是軟體供應商的責任-無論是開源的還是商業。企業應該對涉及基礎IaaS服務或應用程式的發現結果進行評估,以確定是否應將其報告給支持供應商。
針對共享責任模型的滲透測試
範圍界定和共享責任模型也影響企業如何組織雲端操作。你可能有OS團隊負責某些部分,網絡團隊負責負載平衡器,身份管理團隊負責身份和訪問管理等等。這些不同的小組應與雲安全團隊或卓越雲安全中心協作,以確保在IaaS環境中部署必要的安全控制。考慮到這種協調的複雜性,滲透測試可能有助於確定協調和所部署的技術安全控制方面的差距。
分解滲透測試說明
該手冊最有價值的貢獻可能是雲滲透測試用例和問題部分。該手冊涵蓋常規滲透測試步驟,並在每個步驟中突出顯示特定於雲端的信息。企業可以將這些步驟用作清單,以評估其公共雲環境的配置。
測試用例包括特定步驟,這些步驟描述在哪裡尋找特定配置設置,可用於獲得環境的最初立足點。當黑客獲取訪問權限,他們就可以橫向移動以最終獲得特權升級,從而完全破壞系統的安全性。在滲透測試前,更重要的事情是,在雲端範圍內部署安全控制。滲透測試可以檢查安全控制措施是否得到有效實施,並確定需要額外注意的區域。
責編AJX
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴