渗透测试可以帮助企业将他们在公有云环境中的漏洞找出来。但是针对AWS、谷歌和Azure的测试需求有什么不同呢?
很多企业IT部门使用云渗透测试来确定和解决他们在云计算环境中的潜在安全缺陷。但是,在公有云平台上执行一项渗透测试之前,理解你的云供应商的唯一测试需求很重要。
渗透测试模仿了实际的攻击,因此在执行之前要和云供应商进行协调。下面是在亚马逊Web服务(AWS)、谷歌计算引擎和微软Azure上执行一项云渗透测试之前需要知道的一些事情。
对于AWS,客户必须在进行测试前提交申请表。这个审批表收集了一些信息,关于谁将执行测试、第三方联系信息、已扫描的服务器IP地址以及扫描源和测试的预计时间和日期。客户不能在m1.small或者t1.micro实例上进行测试或者其他的扫描。这是为了避免对于其他共享相同服务器的客户造成负面影响。
谷歌计算引擎和应用引擎的用户在执行云渗透测试之前,需要咨询《服务条款和可接受使用策略》。谷歌明确声明这项测试应该只影响测试者的应用,而不是其他用户或者服务。谷歌也有一个漏洞奖励项目来奖励发现了谷歌应用或者服务漏洞的安全搜查员和专家;然而,并不适用于第三方应用。
微软有一套正规的程序来批准云渗透测试请求。云供应商要求客户至少在渗透测试前七天提交请求。如果你发现了一项Azure的潜在漏洞,应该报告给微软。微软对于三种常见的漏洞提供加快审批:OWASP top 10 Web测试、模糊测试端点以及端口扫描。微软不允许拒绝服务测试。
云渗透测试在云计算适当的领域是一个有用的工具。共享的云安全模型引入了一些额外的协调挑战,但是值得尝试。
本文作者:张培颖
来源:51CTO
