如何用渗透测试计划锁定你的云?

渗透测试是一项旨在确定和解决任何黑客可能利用漏洞的IT安全性措施。就如同传统数据中心广泛采用这一测试方法一样,很多企业的IT部门也在他们的公共云计算环境中使用着这种渗透测试。无论是AWS、谷歌还是微软Azure的云计算,这里将介绍一些针对公共云计算制定渗透测试计划的最佳实践。

首先,由于渗透测是看上去就好像是攻击,那么在执行这样的测试之前,与云计算供应商进行充分的事前沟通则是非常重要的。

其次,应确定一份具体的测试对象清单,具体包括服务器、终端、应用程序、网络服务和持久性数据存储。你可以使用诸如Metasploit之类的工具或者诸如Tinfoil安全这样的第三方服务供应商所提供的安全扫描工具来执行渗透测试。但无论使用哪种方法,你都需要一个包括待测试组件信息的明确定义列表。

然后,确定需要执行哪些测试。开放式Web应用程序安全项目(OWASP)所维护的一份列表中就包括了Web应用程序的十大安全漏洞。这是一个很好的起点,我们可以将其视为企业用户应予以重点关注测试的最小漏洞集合。该列表包括了注入攻击、中断会话管理与认证、跨站点脚本程序和安全性错误配置。

请务必确保测试所有的潜在攻击点。你有可能希望用户一直使用你所提供的网络接口,但是攻击者可以直接利用Web服务或数据库服务器。在你的应用程序堆栈中测试所有面向公众的接入点,其中包括API函数和应用程序接口。

如果你拥有足够的时间和资源,那么还应针对无法从互联网访问的服务进行测试。例如,你可能需要配置你的数据库服务器以便于只接受来自于你的应用程序服务器的连接。有的人可能会认为这个数据库是无法从Web端进行访问的,所以它是受到一定程度保护的,但是这一点并不一定是正确的。

安全措施有可能会失效。如果能够访问数据库服务器的应用程序服务器被攻陷,那么黑客们就可以将应用程序服务器作为攻击数据库服务器的主机。所以,在不影响正常功能的情况下,应尽可能多地强化数据库服务器的安全措施。按照纵深防御的做法,实施多种控制措施来保护数据和系统资源。数据库服务器的安全性不应只是依靠一个具有较高安全性的应用程序服务器。

最后,请记得并不是所有的攻击都是来自于组织外部的。来自内部的攻击有可能可以合法且恶意地访问众多系统。审查日志文件,从而确定是否捕获足够的信息以便于对一个实际的攻击做出响应。此外,还应检验安全信息和事件管理软件的功能。应确保按照预先设计发出警报,以安全专家能够确定警报原因的形式向他们提交安全数据。

(来源:TechTarget中国)

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-11-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

用R语言抓取pm2.5数据绘制全国pm2.5分布图

这其实是一段欠了很久代码了,很多人都在以前那篇文章下面留言,说运行不了,确实会运行不了,因为我少交代了一个数据。

13550
来自专栏FreeBuf

BlackHat 2018 | 55款大会软件工具盘点

汇聚了全球信息安全业界精英的年度盛事”Black Hat”上周在美国拉斯维加斯落下帷幕,大佬们也带来了很多有趣的软件工具,其中有一些托管在GitHub上开放下载...

26920
来自专栏游戏杂谈

记一次郁闷的更新

  开发的游戏,使用双线,但每次更新都会有玩家反馈说无法进入游戏了。很不幸,上周日更新的时候又遇到了问题了,然后开始排查问题…

9340
来自专栏杨建荣的学习笔记

总结nmon的诸多优点 (r4笔记第78天)

nmon在平时的工作中可能会多多少少接触到,从sourceforge上能够下载到nmon的包。可能是有着IBM的血统,这个工具对于AIX的支持力度要大得多。 当...

36780
来自专栏小程序知识库

小程序99问

A:微信支付商户申请填写结算账户时如果找不到所在的银行,请选择“其他银行”后手动填写所在支行全称,例如:建设银行佛山市环市支行。

1.4K150
来自专栏13blog.site

Docker+SpringBoot+Mybatis+thymeleaf的Java博客系统开源啦

作者:13 GitHub:https://github.com/ZHENFENG13 版权声明:本文为原创文章,未经允许不得转载。 个人博客 对于技术...

53090
来自专栏FreeBuf

如何写好一篇漏洞报告(国外篇)

如何写好一篇漏洞总结报告,这一直都是一些应用开发公司经常忽略的重要事情,一篇好的漏洞总结报告可以有效帮助开发人员,减少寻找和解决漏洞的时间。 接下来我就开始讲述...

48770
来自专栏企鹅号快讯

新人分享系列-蘑菇街主搜Dump拼装服务演化

花名:长文 部门:算法中心搜索业务组 入职时间:2016年 主要从事蘑菇街搜索引擎实时增量商品信息补全以及搜索业务接入 一、引言 搜索引擎作为电商平台的主要入口...

413140
来自专栏BeJavaGod

关于第三方cookie的作用域以及针对用户行为的使用

cookie,很多网站都会用的一个机制,可以保存用户的相关信息,token等等,很多人熟知的应该是第一方cookie,可以针对二级域名进行信息的保存,如果遇到跨...

39530
来自专栏数据订阅

腾讯云数据库(TencentDB)SaaS服务简介

传统企业在建设数据库初期,不仅建设服务器,还要保证数据库能够稳定和可靠的运行。当业务数据增长到一定大小的时候,就需要增加服务器CPU及内存以及磁盘相关资源。为了...

1.5K630

扫码关注云+社区

领取腾讯云代金券