云计算渗透测试是通过模拟恶意代码的攻击,主动检查云系统安全的一种方式。
由于对基础设施的影响,渗透测试往往不适合SaaS环境,这在PAAS和IAA中是允许的,但需要一些协调。
云计算渗透测试属于定期安全监控,用于监控威胁、风险和漏洞的存在。 SLA 合同将指定允许的渗透测试类型以及执行频率。
为帮助企业安全监管人员高效实施云计算安全测试,我们整理了云计算渗透测试速查清单及相关重要注意事项如下:
一、云计算渗透测试清单
1.检查服务水平协议,确保云服务提供商(CSP)与客户之间已达成相关政策;
2.为维护治理和合规性,检查云服务提供商和订阅者之间的适当责任;
3.查看服务水平协议文件,跟踪CSP记录,确定维护云资源的角色和职责;
4.检查计算机和互联网使用政策,确保已按照正确的政策执行;
5.检查未使用的端口和协议,确保相关服务被屏蔽;
6.检查存储在云服务器中的数据是否默认加密;
7.检查使用的双因素认证并验证OTP以确保网络安全;
8.检查URL中云服务SSL证书的有效性,确保证书是从正规认证机构(Comodo、enter、GeoTrust、Symantec、Thawte等)购买的;
9.检查接入点、数据中心和设备的组件,进行适当的安全控制;
10.检查向第三方披露数据的政策和程序;
11.必要时检查CSP是否提供克隆和虚拟机;
12.检查云应用的正确输入验证,避免Web应用攻击,如XSS、CSRF、sqli等。
二、云计算攻击
跨站请求
CSRF 是一种旨在诱使受害者提交恶意请求以作为用户执行某些任务的攻击。
绕过攻击
这种类型的攻击是云独有的,可以是非常具有破坏性的,但需要技巧和一点运气。这种形式的攻击试图利用受害者使用云中共享资源的事实来间接破坏受害者的机密性。
签名封装攻击
这种类型的攻击并不是云环境独有的,但它仍然是一种危及 Web 应用程序安全的危险方式。基本上,签名封装攻击依赖于 Web 服务中使用的技术的使用。
云环境中的其他攻击
使用网络嗅探器劫持服务
使用 XSS 攻击的会话劫持
DNS攻击
SQL注入攻击
密码分析攻击
Dos 和分布式 DoS 攻击
三、云渗透测试的重要考虑
1.对云环境中的可用主机进行漏洞扫描;
2.确定云类型、SaaS、IAA 或 PAAS;
3.确定云服务商允许的测试类型;
4.检查CSP测试的协调、安排和执行;
5.实施内外渗透;
6.获得进行渗透测试的书面同意;
7.对没有防火墙和反向代理的Web应用/服务进行Web渗透测试。
四、云渗透测试重要建议
1.使用用户名和密码验证用户;
2.通过关注服务提供商政策来保护编码政策;
3.使用增强密码策略前必须告知用户;
4.敏感信息定期更改,如云提供商分配的用户账号和密码;
5.保留渗透测试过程中发现的信息漏洞;
6.测试密码使用加密协议;
7.SaaS应用采用集中认证或单点登录;
8.使用最新的安全协议。