云计算从根本上改变了信息安全的很多方面,但基本概念仍然适用,这包括安全程序的关键组件,例如渗透测试。
在风险管理中,重要部分是了解在何处以及如何对企业云进行渗透测试。定期对所有关键任务云系统进行渗透测试,有助于确定信息安全计划中需要改进的地方。根据安全团队的可用资源,他们可以在系统上线前、运行系统时甚至在设计过程中进行渗透测试。
作为参考,云安全联盟(CSA)Top Threats工作组发布《云渗透测试手册》,概述如何对公共云环境中托管的系统和服务进行渗透测试。该手册探讨了很多问题,例如如何确定云端渗透测试的范围、如何在共享责任模型中执行这些测试以及云渗透测试用例和问题等方面。
云端渗透测试的独特挑战
云渗透测试不同于普通渗透测试。其中一个区别是,根据具体范围,云渗透测试可能包括与基础托管服务提供商的协调。如果该渗透测试识别出基础托管提供商中的漏洞,则可能需要阻止该提供商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响,并将发现的结果通知给提供商。在大型分布式企业中,编排渗透测试的团队需要识别所有受影响的团队,并与他们协调安全流程。
公共云中的渗透测试
CSA手册着重于测试公共云环境中托管的系统和服务。例如,这可能包括托管在公共云IaaS服务中的自定义虚拟机。渗透测试会在支持应用程序的云服务中查找缺陷、常见错误配置和已知漏洞。这不是应用程序级别的测试,或者测试基础IaaS服务的安全性,但都可以分别进行渗透测试。根据IaaS服务中托管的应用程序的不同,应用程序安全性可能是软件供应商的责任-无论是开源的还是商业。企业应该对涉及基础IaaS服务或应用程序的发现结果进行评估,以确定是否应将其报告给支持供应商。
针对共享责任模型的渗透测试
范围界定和共享责任模型也影响企业如何组织云端操作。你可能有OS团队负责某些部分,网络团队负责负载平衡器,身份管理团队负责身份和访问管理等等。这些不同的小组应与云安全团队或卓越云安全中心协作,以确保在IaaS环境中部署必要的安全控制。考虑到这种协调的复杂性,渗透测试可能有助于确定协调和所部署的技术安全控制方面的差距。
分解渗透测试说明
该手册最有价值的贡献可能是云渗透测试用例和问题部分。该手册涵盖常规渗透测试步骤,并在每个步骤中突出显示特定于云端的信息。企业可以将这些步骤用作清单,以评估其公共云环境的配置。
测试用例包括特定步骤,这些步骤描述在哪里寻找特定配置设置,可用于获得环境的最初立足点。当黑客获取访问权限,他们就可以横向移动以最终获得特权升级,从而完全破坏系统的安全性。在渗透测试前,更重要的事情是,在云端范围内部署安全控制。渗透测试可以检查安全控制措施是否得到有效实施,并确定需要额外注意的区域。
