详解云计算之云渗透测试 2021-01-11 16:41

  云计算从根本上改变了信息安全的很多方面,但基本概念仍然适用,这包括安全程序的关键组件,例如渗透

  在风险管理中,重要部分是了解在何处以及如何对企业云进行渗透测试。定期对所有关键任务云系统进行渗透测试,有助于确定信息安全计划中需要改进的地方。根据安全团队的可用资源,他们可以在系统上线前、运行系统时甚至在设计过程中进行渗透测试。

  作为参考,云安全联盟(CSA)TopThreats工作组发布《云渗透测试手册》,概述如何对公共云环境中托管的系统和服务进行渗透测试。该手册探讨了很多问题,例如如何确定云端渗透测试的范围、如何在共享责任模型中执行这些测试以及云渗透测试用例和问题等方面。

  云渗透测试不同于普通渗透测试。其中一个区别是,根据具体范围,云渗透测试可能包括与基础托管服务提供商的协调。如果该渗透测试识别出基础托管提供商中的漏洞,则可能需要阻止该提供商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响,并将发现的结果通知给提供商。在大型分布式企业中,编排渗透测试的团队需要识别所有受影响的团队,并与他们协调安全流程。

  CSA手册着重于测试公共云环境中托管的系统和服务。例如,这可能包括托管在公共云IaaS服务中的自定义虚拟机。渗透测试会在支持应用程序的云服务中查找缺陷、常见错误配置和已知漏洞。这不是应用程序级别的测试,或者测试基础IaaS服务的安全性,但都可以分别进行渗透测试。根据IaaS服务中托管的应用程序的不同,应用程序安全性可能是软件供应商的责任-无论是开源的还是商业。企业应该对涉及基础IaaS服务或应用程序的发现结果进行评估,以确定是否应将其报告给支持供应商。

  范围界定和共享责任模型也影响企业如何组织云端操作。你可能有OS团队负责某些部分,网络团队负责负载平衡器,身份管理团队负责身份和访问管理等等。这些不同的小组应与云安全团队或卓越云安全中心协作,以确保在IaaS环境中部署必要的安全控制。考虑到这种协调的复杂性,渗透测试可能有助于确定协调和所部署的技术安全控制方面的差距。

  该手册最有价值的贡献可能是云渗透测试用例和问题部分。该手册涵盖常规渗透测试步骤,并在每个步骤中突出显示特定于云端的信息。企业可以将这些步骤用作清单,以评估其公共云环境的配置。

  测试用例包括特定步骤,这些步骤描述在哪里寻找特定配置设置,可用于获得环境的最初立足点。当黑客获取访问权限,他们就可以横向移动以最终获得特权升级,从而完全破坏系统的安全性。在渗透测试前,更重要的事情是,在云端范围内部署安全控制。渗透测试可以检查安全控制措施是否得到有效实施,并确定需要额外注意的区域。

  1月4日,深圳市发布《深圳市数字经济产业创新发展实施方案(2021—2023年)》(以下简称“《实施....

  一头人猿蹲坐在一堆动物骸骨中间,抓挠着头皮似乎开始思考。随后,它捡起一根粗大的腿骨,挥动了几下,发现....

  智慧园区是以园区数字化、网络化、智能化为发展理念,通过数字技术构建人、终端、平台三者互联的空间体系,....

  责任编辑:xj 原文标题:通信运营商to B领域人员必备:通俗解释42个专业词汇 文章出处:【微信公....

  2007 年,Google 的三位著名的工程师 Rob Pike、Ken Thompson 和 Ro....

  岁末年初,回顾刚刚过去的2020年,“新冠疫情”将成为我们刻骨铭心的记忆。 因为这场疫情,仿佛在一夜....

  在本文中,我们将介绍云计算环境中流行的大数据框架,并确定这些大数据框架的某些属性,并探讨与之相关的一....

  新年伊始,沉寂了许久的VR行业传来喜讯,1月4日,爱奇艺智能(爱奇艺VR项目子公司)获得了B轮数亿元....

  随着2021年的到来,云计算被认为是一种很成熟的技术。但是实际上,从云原生到多云,云计算的许多要素仍....

  今天制造企业,都普遍面临着巨大的不确定性,有人把它叫VUCA时代,意即不稳定(Volatile)、不....

  F5网络公司宣布了一项协议,以4.4亿美元的现金和未来的6000万美元的价格收购云计算初创公司Vol....

  【全球财经观察 | 新闻速递】#看行业#谷歌将开辟一个“云区域”(cloud region),通过与....

  随着中国经济的迅速发展,面对经济全球化和社会信息化的挑战,信息化在石油行业的生产运行和管理作用凸....

  12月29日,泉城初雪,银装素裹,分外妖娆。由山东省总工会、山东省工业和信息化厅、山东省人力资源和社....

  电源行业正面临着巨大变局,新冠疫情让众多企业或破产,或停业,蛰伏已久的企业渴望一场爆发的市场机遇。

  斯科茨代尔市Limelight Networks边缘策略和解决方案架构副总裁史蒂夫·米勒·琼斯(St....

  尽管人们已经熟悉了云计算技术在IT公司中的重要性,但今年可能会出现新的市场需求。我们生活在一个瞬息万....

  2020年12月30日,《心声社区》发布了任正非在企业业务及云业务汇报会上的发言。华为之所以在这个时....

  2018年是中国云计算产业的拐点,政策+产业+资本全方位共振,云计算产业需求进入加速增长期,云计算行....

  近年来,全球物联网连接规模呈现稳健上升的态势,依据权威调研机构IDC最新报告显示,随着5G已经步入商....

  厦门雅迅的车联网安全系统的建设自 2010年开始构建,包括信息安全的支撑体系、通信加密、身份认证、访....

  随着混合云的增长,敏感数据将会广泛地在平台和各方之间进行存储、共享和分析,进而面临各种安全控制和风险....

  数字银行业务存在安全问题,但这主要是一种感知问题。最近的调查数据显示,有54%的客户认为数字银行比实....

  近期,2021年全国工业和信息化工作会议和三大运营商2021年工作会议在北京召开。据悉,2021年我....

  近期,2021年全国工业和信息化工作会议和三大运营商2021年工作会议在北京召开。据悉,2021年我....

  万物互联时代,企业如何为终端建立有效的安全防护? 终端是企业中最具普适性的信息基础设施,例如....

  2020注定是载入史册的一年。辞旧迎新之际,「甲子光年」邀请了100位科技行业头部公司CEO....

  11 月 27 日,在由《中国新闻周刊》主办的 2020 “年度影响力人物”荣誉盛典上,金山....

  从数字孪生实体模型到量子计算,EDA再次向云计算开展迁移,由此可见2020年是集成ic开发设计的关键....

  定义是思想的灯塔,一个清晰的定义,能够帮助我们扫清认识上的迷雾、减少混乱、抓住本质,找到正确的前进....

  计算机相距数百英里,延迟却只有几毫秒。对于办公应用软件而言,这种级别的延迟可以接受。但随着物联网和5....

  简而言之,物联网(IoT)就是物理世界与数字世界的融合。在物联网中,日常物品被嵌入技术(如Wi-Fi....

  2020年12月17日,在为期三周的亚马逊re:Invent全球大会即将闭幕之际,亚马逊全球副总裁、....

  作为新经济周期的开局之年,2021年的经济将会出现哪些趋势,可以说是许多人想要找寻的答案。 央视财经....

  2020年年初,突如其来的新冠肺炎疫情让所有人困守家中,线上办公、线上教育相关软件使用率大幅提升;疫....

  世界上最遥远的距离,你站在云端却感受不到它的存在。   ” 对于很多人来讲,切身体验到云计算、数....

  在这种情况下,带宽需求达到了异乎寻常的水平。2020年第一季度,美国和加拿大的互联网使用量增长了40....

  根据市场研究机构Research and Markets发布的最新报告显示,到2025年,全球Iaa....

  虽然今年出现了许多挑战,但我们也看到了整个生态系统--从用户、网络提供商到应用提供商的巨大弹性和创新....

  微软正在研发一种新的服务“云PC”(Cloud PC),用户可以在任何设备上快速访问Windows桌....

  univideoTM统一视频教育信息化平台可以将多个分校互通互联,实现资源共享,统一管理,并且V2V....

  区域教育信息中心需满足多个学校大量并发需求,对网络、存储、安全等系统提出更高的要求;各个学校网络出口....

  华为云诞生于2017年,华为轮值董事长徐直军在当年的华为生态大会宣告了云业务的成立。在此后的采访中,....

  近日,北京市高级人民法院下达了关于北京炎黄盈动科技发展有限责任公司与亚马逊通技术服务(北京)有限公司....

  12月28日,2020年(第27批)新认定及全部国家企业技术中心名单(发改高技〔2020〕1918号....

  今年春节期间,本应阖家团圆,但一场疫情让全国人民绷紧了神经。伴随着各地封城,有些工作人员仍奋战在一线....

  日前,维谛技术(Vertiv,NYSE:VRT)与联想集团在北京成功签署服务战略合作协议,双方将利用....

  方案概述 本系统用于水库、河流闸坝的运行监控和维护,支持水文监控、闸坝状态监控、闸门监控,以及...

  减少边缘节点的洞察时间可在获得数据之后尽快做出关键决定。而理论上处理能力和通信数据均不受限制,则可将所有全带宽边缘节点检...

  无线传感器网络在环境监测、医疗卫生,目标跟踪等方面有广泛运用,它能实时的感知,采集并传送监测数据,可以认为是物联网,云计...

  1、选择保留实例 在云中,如果组织愿意做出一定的权衡,他们将会找到按需资源的价格更低的替代方案。并尽可能使用以下折...

  2020年,新型冠状病毒席卷了整个中国,同时也在促进着产业的变革与生活变化。 电子发烧友在此期间推出【战疫专题】活动,持续为...

  在不远的未来,借助传感器、3G无线和云计算技术,实现无时不在的健康监控。 位于北京海淀区知春路希格玛大厦五层,在微软亚...

  具有中国自主知识产权的TD-LTE由于其频谱利用率高(下行:5bit/S/Hz;上行:2.5bit...

  1. 综述 本文主要介绍 Flink Runtime 的作业执行的核心机制。首先介绍 Flink Runtime 的整体架构以及 Job 的基本执行流程,...

  AI、大数据和云计算,三大技术发展多年后,被颇具创意地归纳成ABC概念,读起来朗朗上口。不过,新技术总是层出不穷,ABC...