云计算从根本上改变了信息安全的许多方面,但基本概念仍然适用,包括渗透测试等安全程序的关键部件。
在风险管理中,重要的部分是了解在哪里以及如何对企业云进行渗透测试。定期对所有关键任务云系统进行渗透测试,有助于确定信息安全计划中需要改进的地方。根据安全团队的可用资源,他们可以在系统启动前、运行系统时甚至在设计过程中进行渗透测试。
作为参考,云安全联盟(CSA)Top Threats工作组发布了《云渗透测试手册》,概述了如何在公共云环境中检查系统和服务。本手册讨论了如何确定云渗透测试的范围、如何在共享责任模型中实施这些测试、云渗透测试的用例和问题等问题。
云渗透测试的独特挑战
云渗透测试不同于普通渗透测试。区别之一是,根据具体范围,云渗透测试可能包括与基本托管服务提供商的协调。如果渗透测试识别基本托管提供商中的漏洞,则可能需要阻止提供商,以防止攻击者横向移动。这可以最大限度地减少对其他客户的潜在影响,并通知提供商发现的结果。在大型分布式企业中,安排渗透测试的团队需要识别所有受影响的团队,并与他们协调安全过程。
公共云中的渗透试验
CSA本手册重点测试公共云环境中的托管系统和服务。例如,这可能包括公共云中的托管IaaS服务中的自定义虚拟机。渗透测试将在支持应用程序的云服务中发现缺陷、常见错误配置和已知漏洞。这不是应用程序级别的测试,也不是测试基础IaaS服务安全,但可分别进行渗透试验。IaaS软件供应商对服务中托管的不同应用程序的安全负责-无论是开源还是商业。企业应涉及基础IaaS评估服务或应用程序的发现结果,以确定是否应向支持供应商报告。
共享责任模型的渗透测试
范围定义和共享责任模型也会影响企业如何组织云运营。你可能有OS团队负责某些部分,网络团队负责负载平衡器,身份管理团队负责身份和访问管理。这些不同的团队应该与云安全团队或优秀的云安全中心合作,以确保它们在那里IaaS在环境中部署必要的安全控制。考虑到这种协调的复杂性,渗透测试可能有助于确定协调和部署的技术安全控制之间的差距。
分解渗透测试说明
本手册最有价值的贡献可能是云渗透测试的用例和问题部分。本手册涵盖常规的渗透测试步骤,并在每个步骤中突出显示在云中的特定信息。企业可以将这些步骤作为评估其公共云环境配置的清单。
测试用例包括在哪里找到特定的配置设置特定步骤,可以用来获得环境的初始立足点。当黑客获得访问权限时,他们可以水平移动,最终获得特权升级,从而完全破坏系统的安全性。在渗透测试之前,更重要的是在云中部署安全控制。渗透测试可以检查安全控制措施是否有效实施,并确定需要额外注意的区域。