如何將你在公有云環(huán)境中的漏洞找出來？

作者：翻譯：張培穎 2015-11-06 10:40:27

云計算

云安全 很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項滲透測試之前，理解你的云供應商的唯一測試需求很重要。

成都創(chuàng)新互聯公司主要從事成都做網站、成都網站建設、網頁設計、企業(yè)做網站、公司建網站等業(yè)務。立足成都服務白銀,十年網站建設經驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:028-86922220

滲透測試可以幫助企業(yè)將他們在公有云環(huán)境中的漏洞找出來。但是針對AWS、谷歌和Azure的測試需求有什么不同呢?

很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項滲透測試之前，理解你的云供應商的唯一測試需求很重要。

滲透測試模仿了實際的攻擊，因此在執(zhí)行之前要和云供應商進行協調。下面是在亞馬遜Web服務(AWS)、谷歌計算引擎和微軟Azure上執(zhí)行一項云滲透測試之前需要知道的一些事情。

對于AWS，客戶必須在進行測試前提交申請表。這個審批表收集了一些信息，關于誰將執(zhí)行測試、第三方聯系信息、已掃描的服務器IP地址以及掃描源和測試的預計時間和日期。客戶不能在m1.small或者t1.micro實例上進行測試或者其他的掃描。這是為了避免對于其他共享相同服務器的客戶造成負面影響。

谷歌計算引擎和應用引擎的用戶在執(zhí)行云滲透測試之前，需要咨詢《服務條款和可接受使用策略》。谷歌明確聲明這項測試應該只影響測試者的應用，而不是其他用戶或者服務。谷歌也有一個漏洞獎勵項目來獎勵發(fā)現了谷歌應用或者服務漏洞的安全搜查員和專家;然而，并不適用于第三方應用。

微軟有一套正規(guī)的程序來批準云滲透測試請求。云供應商要求客戶至少在滲透測試前七天提交請求。如果你發(fā)現了一項Azure的潛在漏洞，應該報告給微軟。微軟對于三種常見的漏洞提供加快審批：OWASP top 10 Web測試、模糊測試端點以及端口掃描。微軟不允許拒絕服務測試。

云滲透測試在云計算適當的領域是一個有用的工具。共享的云安全模型引入了一些額外的協調挑戰(zhàn)，但是值得嘗試。

當前文章：如何將你在公有云環(huán)境中的漏洞找出來？
URL標題：http://www.5511xx.com/article/dhodhjc.html