云滲透測試的優點

厙浩文

如今云計算從根本上改變了信息安全的很多方面，但基本概念仍然適用，包括安全程序的關鍵組件，例如，滲透測試。在風險管理中，重要部分就是了解如何對企業云進行滲透測試。

定期對所有關鍵任務云系統進行滲透測試，有助于確定信息安全計劃中需要改進的地方。根據安全團隊的可用資源，在系統上線前、運行系統時甚至在設計過程中進行滲透測試。

作為參考，云安全聯盟（CSA）Top Threats工作組發布《云滲透測試手冊》概述了如何對公共云環境中托管的系統和服務進行滲透測試。該手冊探討了很多問題，例如如何確定云端滲透測試的范圍、如何在共享責任模型中執行這些測試以及云滲透測試用例和問題等方面。

云端滲透測試的獨特挑戰

云滲透測試不同于普通滲透測試。其中一個區別是，根據具體范圍，云滲透測試可能包括與基礎托管服務提供商的協調。如果該滲透測試識別出基礎托管提供商中的漏洞，可能需要阻止該提供商以防止攻擊者橫向移動。這樣可以最大程度減少對其他客戶的潛在影響，并將發現的結果通知給提供商。在大型分布式企業中，編排滲透測試的團隊需要識別所有受影響的團隊，并與他們協調安全流程。

公共云中的滲透測試

CSA手冊著重于測試公共云環境中托管的系統和服務。這可能包括托管在公共云IaaS服務中的自定義虛擬機。滲透測試會在支持應用程序的云服務中查找缺陷、常見錯誤配置和已知漏洞。這不是應用程序級別的測試，或者測試基礎IaaS服務的安全性，但都可以分別進行滲透測試。根據IaaS服務中托管應用程序的不同，應用程序安全性可能是軟件供應商的責任———無論是開源的還是商業。企業應該對涉及基礎IaaS服務或應用程序的發現結果進行評估，以確定是否應將其報告給支持供應商。

針對共享責任模型的滲透測試

范圍界定和共享責任模型也影響企業如何組織云端操作。可能由OS團隊負責某些部分，網絡團隊負責負載平衡器，身份管理團隊負責身份和訪問管理等。這些不同的小組應與云安全團隊或卓越云安全中心進行協作，以確保在IaaS環境中部署必要的安全控制。考慮到這種協調的復雜性，滲透測試可能有助于確定協調和所部署技術安全控制方面的差距。

分解滲透測試說明

該手冊最有價值的貢獻可能是云滲透測試用例和問題部分。該手冊涵蓋常規滲透測試步驟，并在每個步驟中突出顯示特定于云端的信息。企業可以將這些步驟用作清單，以評估其公共云環境的配置。

測試用例包括特定步驟，這些步驟描述在哪里尋找特定配置設置，可用于獲得環境的最初立足點。當黑客獲取訪問權限，他們就可以橫向移動以最終獲得特權升級，從而完全破壞系統的安全性。在滲透測試前，更重要的事情是，在云端范圍內部署安全控制，滲透測試可以檢查安全控制措施是否得到有效實施，并確定需要額外注意的區域。