云计算渗透测试是一种通过模拟恶意代码的攻击来主动检查云系统安全的方法。
由于对基础设施的影响,渗透测试往往不适用于SaaS环境,在PaaS、IaaS中是允许的,但是需要一些协调。
云计算的渗透测试属于定期安全监控,以监控威胁、风险和漏洞的存在。而SLA合同将规定允许哪种类型的渗透测试,以及可以多久进行一次。
为了帮助企业安全主管高效实施云计算安全测试,以下我们整理了云计算渗透测试的快查清单以及相关重要注意事项:
一、云计算渗透测试清单
(1) 检查服务水平协议并确保云服务提供商(CSP)和客户之间已达成相关政策;
(2) 为维护治理与合规性,检查云服务提供商和订阅者之间的适当责任;
(3) 检查服务水平协议文件并跟踪CSP的记录,确定维护云资源的角色和责任;
(4) 检查计算机和互联网使用政策,并确保已按照正确的政策实施;
(5) 检查未使用的端口和协议,并确保应阻止相关服务;
(6) 检查存储在云服务器中的数据是否默认加密;
(7) 检查使用的双因素身份验证,并验证OTP以确保网络安全;
(8) 检查URL中云服务的SSL证书有效性,并确保是从正式的证书颁发机构(COMODO、Entrust、GeoTrust、Symantec、Thawte 等)购买的证书;
(9) 使用适当的安全控制检查接入点、数据中心、设备的组件;
(10) 检查向第三方披露数据的政策和程序;
(11) 检查CSP是否在需要时提供克隆和虚拟机;
(12) 检查云应用程序的正确输入验证,以避免Web应用程序攻击,例如XSS、CSRF、SQLi等。
二、云计算攻击
(1) 跨站请求
CSRF是一种旨在诱使受害者提交恶意请求以作为用户执行某些任务的攻击。
(2) 旁路攻击
这种类型的攻击对于云来说是独一无二的,并且可能非常具有破坏性,但它需要技巧和一定的运气。这种形式的攻击试图通过利用受害者使用云中共享资源的事实来间接破坏受害者的机密性。
(3) 签名封装攻击
该类型的攻击并非云环境独有,但仍然是一种危及Web应用程序安全性的危险方法。基本上,签名封装攻击依赖于对Web服务中使用的技术的利用。
- 云环境中的其它攻击
- 使用网络嗅探进行服务劫持
- 使用XSS攻击的会话劫持
- 域名系统(DNS)攻击
- SQL注入攻击
- 密码分析攻击
- 拒绝服务(DoS)和分布式DoS攻击
三、云渗透测试的重要考虑因素
(1) 在云环境中的可用主机上执行漏洞扫描;
(2) 确定云的类型,是SaaS、IaaS还是PaaS;
(3) 确定云服务提供商允许的测试类型;
(4) 检查CSP的协调、安排和执行测试;
(5) 执行内部和外部渗透;
(6) 获得执行渗透测试的书面同意;
(7) 在没有防火墙和反向代理的情况下对Web应用程序/服务执行Web渗透测试。
四、云渗透测试的重要建议
(1) 使用用户名和密码验证用户;
(2) 通过关注服务提供商政策来保护编码政策;
(3) 采用强化的密码策略前必须告知用户;
(4) 敏感信息定期更改,例如用户帐户名、云提供商分配的密码;
(5) 保存在渗透测试过程中发现的信息漏洞;
(6) 对测试的密码使用加密协议;
(7) 针对SaaS应用程序使用集中式身份验证或单点登录;
(8) 使用最新的安全协议。