云計算滲透測試的考慮因素及建議
云計算滲透測試是一種通過模擬惡意代碼的攻擊來主動檢查云系統安全的方法。
由于對基礎設施的影響,滲透測試往往不適用于SaaS環境,在PaaS、IaaS中是允許的,但是需要一些協調。
云計算的滲透測試屬于定期安全監控,以監控威脅、風險和漏洞的存在。而SLA合同將規定允許哪種類型的滲透測試,以及可以多久進行一次。
為了幫助企業安全主管高效實施云計算安全測試,以下我們整理了云計算滲透測試的快查清單以及相關重要注意事項:
一、云計算滲透測試清單
(1) 檢查服務水平協議并確保云服務提供商(CSP)和客戶之間已達成相關政策;
(2) 為維護治理與合規性,檢查云服務提供商和訂閱者之間的適當責任;
(3) 檢查服務水平協議文件并跟蹤CSP的記錄,確定維護云資源的角色和責任;
(4) 檢查計算機和互聯網使用政策,并確保已按照正確的政策實施;
(5) 檢查未使用的端口和協議,并確保應阻止相關服務;
(6) 檢查存儲在云服務器中的數據是否默認加密;
(7) 檢查使用的雙因素身份驗證,并驗證OTP以確保網絡安全;
(8) 檢查URL中云服務的SSL證書有效性,并確保是從正式的證書頒發機構(COMODO、Entrust、GeoTrust、Symantec、Thawte 等)購買的證書;
(9) 使用適當的安全控制檢查接入點、數據中心、設備的組件;
(10) 檢查向第三方披露數據的政策和程序;
(11) 檢查CSP是否在需要時提供克隆和虛擬機;
(12) 檢查云應用程序的正確輸入驗證,以避免Web應用程序攻擊,例如XSS、CSRF、SQLi等。
二、云計算攻擊
(1) 跨站請求
CSRF是一種旨在誘使受害者提交惡意請求以作為用戶執行某些任務的攻擊。
(2) 旁路攻擊
這種類型的攻擊對于云來說是獨一無二的,并且可能非常具有破壞性,但它需要技巧和一定的運氣。這種形式的攻擊試圖通過利用受害者使用云中共享資源的事實來間接破壞受害者的機密性。
(3) 簽名封裝攻擊
該類型的攻擊并非云環境獨有,但仍然是一種危及Web應用程序安全性的危險方法。基本上,簽名封裝攻擊依賴于對Web服務中使用的技術的利用。
- 云環境中的其它攻擊
- 使用網絡嗅探進行服務劫持
- 使用XSS攻擊的會話劫持
- 域名系統(DNS)攻擊
- SQL注入攻擊
- 密碼分析攻擊
- 拒絕服務(DoS)和分布式DoS攻擊
三、云滲透測試的重要考慮因素
(1) 在云環境中的可用主機上執行漏洞掃描;
(2) 確定云的類型,是SaaS、IaaS還是PaaS;
(3) 確定云服務提供商允許的測試類型;
(4) 檢查CSP的協調、安排和執行測試;
(5) 執行內部和外部滲透;
(6) 獲得執行滲透測試的書面同意;
(7) 在沒有防火墻和反向代理的情況下對Web應用程序/服務執行Web滲透測試。
四、云滲透測試的重要建議
(1) 使用用戶名和密碼驗證用戶;
(2) 通過關注服務提供商政策來保護編碼政策;
(3) 采用強化的密碼策略前必須告知用戶;
(4) 敏感信息定期更改,例如用戶帳戶名、云提供商分配的密碼;
(5) 保存在滲透測試過程中發現的信息漏洞;
(6) 對測試的密碼使用加密協議;
(7) 針對SaaS應用程序使用集中式身份驗證或單點登錄;
(8) 使用最新的安全協議。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
