滲透測試是一項旨在確定和解決任何黑客可能利用漏洞的IT安全性措施。就如同傳統數據中心廣泛采用這一測試方法一樣，很多企業的IT部門也在他們的公共云計算環境中使用著這種滲透測試。無論是AWS、谷歌還是微軟Azure的云計算，這里將介紹一些針對公共云計算制定滲透測試計劃的最佳實踐。

首先，由于滲透測是看上去就好像是攻擊，那么在執行這樣的測試之前，與云計算供應商進行充分的事前溝通則是非常重要的。

其次，應確定一份具體的測試對象清單，具體包括服務器、終端、應用程序、網絡服務和持久性數據存儲。你可以使用諸如Metasploit之類的工具或者諸如Tinfoil安全這樣的第三方服務供應商所提供的安全掃描工具來執行滲透測試。但無論使用哪種方法，你都需要一個包括待測試組件信息的明確定義列表。

然后，確定需要執行哪些測試。開放式Web應用程序安全項目(OWASP)所維護的一份列表中就包括了Web應用程序的十大安全漏洞。這是一個很好的起點，我們可以將其視為企業用戶應予以重點關注測試的最小漏洞集合。該列表包括了注入攻擊、中斷會話管理與認證、跨站點腳本程序和安全性錯誤配置。

請務必確保測試所有的潛在攻擊點。你有可能希望用戶一直使用你所提供的網絡接口，但是攻擊者可以直接利用Web服務或數據庫服務器。在你的應用程序堆棧中測試所有面向公眾的接入點，其中包括API函數和應用程序接口。

如果你擁有足夠的時間和資源，那么還應針對無法從互聯網訪問的服務進行測試。例如，你可能需要配置你的數據庫服務器以便于只接受來自于你的應用程序服務器的連接。有的人可能會認為這個數據庫是無法從Web端進行訪問的，所以它是受到一定程度保護的，但是這一點并不一定是正確的。

安全措施有可能會失效。如果能夠訪問數據庫服務器的應用程序服務器被攻陷，那么黑客們就可以將應用程序服務器作為攻擊數據庫服務器的主機。所以，在不影響正常功能的情況下，應盡可能多地強化數據庫服務器的安全措施。按照縱深防御的做法，實施多種控制措施來保護數據和系統資源。數據庫服務器的安全性不應只是依靠一個具有較高安全性的應用程序服務器。

最后，請記得并不是所有的攻擊都是來自于組織外部的。來自內部的攻擊有可能可以合法且惡意地訪問眾多系統。審查日志文件，從而確定是否捕獲足夠的信息以便于對一個實際的攻擊做出響應。此外，還應檢驗安全信息和事件管理軟件的功能。應確保按照預先設計發出警報，以安全專家能夠確定警報原因的形式向他們提交安全數據。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91264.htm