云計(jì)算滲透測(cè)試是通過(guò)模擬惡意代碼的攻擊，主動(dòng)檢查云系統(tǒng)安全的一種方式。

由于對(duì)基礎(chǔ)設(shè)施的影響，滲透測(cè)試往往不適合SaaS環(huán)境，這在PAAS和IAA中是允許的，但需要一些協(xié)調(diào)。

云計(jì)算滲透測(cè)試屬于定期安全監(jiān)控，用于監(jiān)控威脅、風(fēng)險(xiǎn)和漏洞的存在。 SLA 合同將指定允許的滲透測(cè)試類型以及執(zhí)行頻率。

為幫助企業(yè)安全監(jiān)管人員高效實(shí)施云計(jì)算安全測(cè)試，我們整理了云計(jì)算滲透測(cè)試速查清單及相關(guān)重要注意事項(xiàng)如下：

一、云計(jì)算滲透測(cè)試清單

1.檢查服務(wù)水平協(xié)議，確保云服務(wù)提供商（CSP）與客戶之間已達(dá)成相關(guān)政策；

2.為維護(hù)治理和合規(guī)性，檢查云服務(wù)提供商和訂閱者之間的適當(dāng)責(zé)任；

3.查看服務(wù)水平協(xié)議文件，跟蹤C(jī)SP記錄，確定維護(hù)云資源的角色和職責(zé)；

4.檢查計(jì)算機(jī)和互聯(lián)網(wǎng)使用政策，確保已按照正確的政策執(zhí)行；

5.檢查未使用的端口和協(xié)議，確保相關(guān)服務(wù)被屏蔽；

6.檢查存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)是否默認(rèn)加密；

7.檢查使用的雙因素認(rèn)證并驗(yàn)證OTP以確保網(wǎng)絡(luò)安全；

8.檢查URL中云服務(wù)SSL證書的有效性，確保證書是從正規(guī)認(rèn)證機(jī)構(gòu)（Comodo、enter、GeoTrust、Symantec、Thawte等）購(gòu)買的；

9.檢查接入點(diǎn)、數(shù)據(jù)中心和設(shè)備的組件，進(jìn)行適當(dāng)?shù)陌踩刂疲?/p>

10.檢查向第三方披露數(shù)據(jù)的政策和程序；

11.必要時(shí)檢查CSP是否提供克隆和虛擬機(jī)；

12.檢查云應(yīng)用的正確輸入驗(yàn)證，避免Web應(yīng)用攻擊，如XSS、CSRF、sqli等。

二、云計(jì)算攻擊

跨站請(qǐng)求

CSRF 是一種旨在誘使受害者提交惡意請(qǐng)求以作為用戶執(zhí)行某些任務(wù)的攻擊。

繞過(guò)攻擊

這種類型的攻擊是云獨(dú)有的，可以是非常具有破壞性的，但需要技巧和一點(diǎn)運(yùn)氣。這種形式的攻擊試圖利用受害者使用云中共享資源的事實(shí)來(lái)間接破壞受害者的機(jī)密性。

簽名封裝攻擊

這種類型的攻擊并不是云環(huán)境獨(dú)有的，但它仍然是一種危及 Web 應(yīng)用程序安全的危險(xiǎn)方式?；旧希灻庋b攻擊依賴于 Web 服務(wù)中使用的技術(shù)的使用。

云環(huán)境中的其他攻擊

使用網(wǎng)絡(luò)嗅探器劫持服務(wù)

使用 XSS 攻擊的會(huì)話劫持

DNS攻擊

SQL注入攻擊

密碼分析攻擊

Dos 和分布式 DoS 攻擊

三、云滲透測(cè)試的重要考慮

1.對(duì)云環(huán)境中的可用主機(jī)進(jìn)行漏洞掃描；

2.確定云類型、SaaS、IAA 或 PAAS；

3.確定云服務(wù)商允許的測(cè)試類型；

4.檢查CSP測(cè)試的協(xié)調(diào)、安排和執(zhí)行；

5.實(shí)施內(nèi)外滲透；

6.獲得進(jìn)行滲透測(cè)試的書面同意；

7.對(duì)沒(méi)有防火墻和反向代理的Web應(yīng)用/服務(wù)進(jìn)行Web滲透測(cè)試。

四、云滲透測(cè)試重要建議

1.使用用戶名和密碼驗(yàn)證用戶；

2.通過(guò)關(guān)注服務(wù)提供商政策來(lái)保護(hù)編碼政策；

3.使用增強(qiáng)密碼策略前必須告知用戶；

4.敏感信息定期更改，如云提供商分配的用戶賬號(hào)和密碼；

5.保留滲透測(cè)試過(guò)程中發(fā)現(xiàn)的信息漏洞；

6.測(cè)試密碼使用加密協(xié)議；

7.SaaS應(yīng)用采用集中認(rèn)證或單點(diǎn)登錄；

8.使用最新的安全協(xié)議。

以上就是云計(jì)算滲透測(cè)試的考慮因素與建議，希望能幫助到大家。