如何將你在公有云環(huán)境中的漏洞找出來？

作者：翻譯：張培穎 2015-11-06 10:40:27

云計(jì)算

云安全 很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計(jì)算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項(xiàng)滲透測試之前，理解你的云供應(yīng)商的唯一測試需求很重要。

成都創(chuàng)新互聯(lián)公司主要從事成都做網(wǎng)站、成都網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)白銀,十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

滲透測試可以幫助企業(yè)將他們在公有云環(huán)境中的漏洞找出來。但是針對AWS、谷歌和Azure的測試需求有什么不同呢?

很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計(jì)算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項(xiàng)滲透測試之前，理解你的云供應(yīng)商的唯一測試需求很重要。

滲透測試模仿了實(shí)際的攻擊，因此在執(zhí)行之前要和云供應(yīng)商進(jìn)行協(xié)調(diào)。下面是在亞馬遜Web服務(wù)(AWS)、谷歌計(jì)算引擎和微軟Azure上執(zhí)行一項(xiàng)云滲透測試之前需要知道的一些事情。

對于AWS，客戶必須在進(jìn)行測試前提交申請表。這個審批表收集了一些信息，關(guān)于誰將執(zhí)行測試、第三方聯(lián)系信息、已掃描的服務(wù)器IP地址以及掃描源和測試的預(yù)計(jì)時間和日期。客戶不能在m1.small或者t1.micro實(shí)例上進(jìn)行測試或者其他的掃描。這是為了避免對于其他共享相同服務(wù)器的客戶造成負(fù)面影響。

谷歌計(jì)算引擎和應(yīng)用引擎的用戶在執(zhí)行云滲透測試之前，需要咨詢《服務(wù)條款和可接受使用策略》。谷歌明確聲明這項(xiàng)測試應(yīng)該只影響測試者的應(yīng)用，而不是其他用戶或者服務(wù)。谷歌也有一個漏洞獎勵項(xiàng)目來獎勵發(fā)現(xiàn)了谷歌應(yīng)用或者服務(wù)漏洞的安全搜查員和專家;然而，并不適用于第三方應(yīng)用。

微軟有一套正規(guī)的程序來批準(zhǔn)云滲透測試請求。云供應(yīng)商要求客戶至少在滲透測試前七天提交請求。如果你發(fā)現(xiàn)了一項(xiàng)Azure的潛在漏洞，應(yīng)該報(bào)告給微軟。微軟對于三種常見的漏洞提供加快審批：OWASP top 10 Web測試、模糊測試端點(diǎn)以及端口掃描。微軟不允許拒絕服務(wù)測試。

云滲透測試在云計(jì)算適當(dāng)?shù)念I(lǐng)域是一個有用的工具。共享的云安全模型引入了一些額外的協(xié)調(diào)挑戰(zhàn)，但是值得嘗試。

當(dāng)前名稱：如何將你在公有云環(huán)境中的漏洞找出來？
文章起源：http://uogjgqi.cn/article/dhodhjc.html