云計算滲透測試是通過模擬惡意代碼的攻擊，主動檢查云系統(tǒng)安全的一種方式。

由于對基礎(chǔ)設(shè)施的影響，滲透測試往往不適合SaaS環(huán)境，這在PAAS和IAA中是允許的，但需要一些協(xié)調(diào)。

云計算滲透測試屬于定期安全監(jiān)控，用于監(jiān)控威脅、風險和漏洞的存在。 SLA 合同將指定允許的滲透測試類型以及執(zhí)行頻率。

為幫助企業(yè)安全監(jiān)管人員高效實施云計算安全測試，我們整理了云計算滲透測試速查清單及相關(guān)重要注意事項如下：

一、云計算滲透測試清單

1.檢查服務(wù)水平協(xié)議，確保云服務(wù)提供商（CSP）與客戶之間已達成相關(guān)政策；

2.為維護治理和合規(guī)性，檢查云服務(wù)提供商和訂閱者之間的適當責任；

3.查看服務(wù)水平協(xié)議文件，跟蹤CSP記錄，確定維護云資源的角色和職責；

4.檢查計算機和互聯(lián)網(wǎng)使用政策，確保已按照正確的政策執(zhí)行；

5.檢查未使用的端口和協(xié)議，確保相關(guān)服務(wù)被屏蔽；

6.檢查存儲在云服務(wù)器中的數(shù)據(jù)是否默認加密；

7.檢查使用的雙因素認證并驗證OTP以確保網(wǎng)絡(luò)安全；

8.檢查URL中云服務(wù)SSL證書的有效性，確保證書是從正規(guī)認證機構(gòu)（Comodo、enter、GeoTrust、Symantec、Thawte等）購買的；

9.檢查接入點、數(shù)據(jù)中心和設(shè)備的組件，進行適當?shù)陌踩刂疲?/p>

10.檢查向第三方披露數(shù)據(jù)的政策和程序；

11.必要時檢查CSP是否提供克隆和虛擬機；

12.檢查云應(yīng)用的正確輸入驗證，避免Web應(yīng)用攻擊，如XSS、CSRF、sqli等。

二、云計算攻擊

跨站請求

CSRF 是一種旨在誘使受害者提交惡意請求以作為用戶執(zhí)行某些任務(wù)的攻擊。

繞過攻擊

這種類型的攻擊是云獨有的，可以是非常具有破壞性的，但需要技巧和一點運氣。這種形式的攻擊試圖利用受害者使用云中共享資源的事實來間接破壞受害者的機密性。

簽名封裝攻擊

這種類型的攻擊并不是云環(huán)境獨有的，但它仍然是一種危及 Web 應(yīng)用程序安全的危險方式?；旧?，簽名封裝攻擊依賴于 Web 服務(wù)中使用的技術(shù)的使用。

云環(huán)境中的其他攻擊

使用網(wǎng)絡(luò)嗅探器劫持服務(wù)

使用 XSS 攻擊的會話劫持

DNS攻擊

SQL注入攻擊

密碼分析攻擊

Dos 和分布式 DoS 攻擊

三、云滲透測試的重要考慮

1.對云環(huán)境中的可用主機進行漏洞掃描；

2.確定云類型、SaaS、IAA 或 PAAS；

3.確定云服務(wù)商允許的測試類型；

4.檢查CSP測試的協(xié)調(diào)、安排和執(zhí)行；

5.實施內(nèi)外滲透；

6.獲得進行滲透測試的書面同意；

7.對沒有防火墻和反向代理的Web應(yīng)用/服務(wù)進行Web滲透測試。

四、云滲透測試重要建議

1.使用用戶名和密碼驗證用戶；

2.通過關(guān)注服務(wù)提供商政策來保護編碼政策；

3.使用增強密碼策略前必須告知用戶；

4.敏感信息定期更改，如云提供商分配的用戶賬號和密碼；

5.保留滲透測試過程中發(fā)現(xiàn)的信息漏洞；

6.測試密碼使用加密協(xié)議；

7.SaaS應(yīng)用采用集中認證或單點登錄；

8.使用最新的安全協(xié)議。

以上就是云計算滲透測試的考慮因素與建議，希望能幫助到大家。