如何用渗透测试计划锁定你的云？

渗透试验旨在确定和解决任何黑客可能使用的漏洞IT安全措施。就像传统数据中心广泛使用这种测试方法一样AWS、谷歌还是微软Azure许多企业的云计算IT该部门也在其公有云计算环境中使用这种渗透测试。这里将介绍一些制定公有云计算渗透测试计划的最佳实践。

首先，由于渗透测试看起来像攻击，在实施此类测试之前，与云计算供应商充分沟通是非常重要的。

其次，应确定包括服务器、终端、应用程序、网络服务和持久性数据存储在内的具体测试对象清单。您可以使用它Metasploit或者像Tinfoil第三方服务提供商提供的安全扫描工具进行渗透测试。但无论使用哪种方法，您都需要一个清晰的定义列表，包括待测试组件信息。

然后，确定需要执行哪些测试。开放式Web应用程序安全项目(OWASP)包括所维护的列表Web应用程序的十大安全漏洞。这是一个很好的起点，我们可以认为它是企业用户应该关注测试的最小漏洞集合。该列表包括注入攻击、中断会话管理和认证、跨站脚本程序和安全错误配置。

请确保测试所有潜在攻击点。您可能希望用户始终使用您提供的网络接口，但攻击者可以直接使用Web服务或数据库服务器。在您的应用堆栈中测试所有面向公众的接入点，包括API函数和应用程序接口。

如果你有足够的时间和资源，你也应该测试无法访问互联网的服务。例如，您可能需要配置您的数据库服务器，以便只接受来自您的应用程序服务器的连接。有些人可能认为这个数据库是不可能的Web端被访问，所以它受到一定程度的保护，但这并不一定是正确的。

安全措施可能会失败。如果能够访问数据库服务器的应用程序服务器被攻击，黑客可以使用应用程序服务器作为攻击数据库服务器的主机。因此，在不影响正常功能的情况下，应尽可能加强数据库服务器的安全措施。根据深度防御，实施各种控制措施来保护数据和系统资源。数据库服务器的安全不应仅仅依赖于高安全性的应用程序服务器。

最后，请记住，并不是所有的攻击都来自组织的外部。内部攻击可能会合法恶意地访问许多系统。检查日志文件，以确定是否捕获足够的信息来响应实际攻击。此外，还应检查安全信息和事件管理软件的功能。应确保以安全专家能够确定报警原因的形式提交安全数据。