日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
如何用滲透測(cè)試計(jì)劃鎖定你的云?

如何用滲透測(cè)試計(jì)劃鎖定你的云?

作者:翻譯:滕曉龍 2015-11-13 10:55:53

云計(jì)算

云安全 無(wú)論是AWS、谷歌還是微軟Azure的云計(jì)算,很多企業(yè)的IT部門(mén)也在他們的公共云計(jì)算環(huán)境中使用著這種滲透測(cè)試。這里將介紹一些針對(duì)公共云計(jì)算制定滲透測(cè)試計(jì)劃的最佳實(shí)踐。

站在用戶(hù)的角度思考問(wèn)題,與客戶(hù)深入溝通,找到陽(yáng)信網(wǎng)站設(shè)計(jì)與陽(yáng)信網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個(gè)性化、用戶(hù)體驗(yàn)好的作品,建站類(lèi)型包括:成都網(wǎng)站制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、空間域名、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋陽(yáng)信地區(qū)。

滲透測(cè)試是一項(xiàng)旨在確定和解決任何黑客可能利用漏洞的IT安全性措施。就如同傳統(tǒng)數(shù)據(jù)中心廣泛采用這一測(cè)試方法一樣,很多企業(yè)的IT部門(mén)也在他們的公共云計(jì)算環(huán)境中使用著這種滲透測(cè)試。無(wú)論是AWS、谷歌還是微軟Azure的云計(jì)算,這里將介紹一些針對(duì)公共云計(jì)算制定滲透測(cè)試計(jì)劃的最佳實(shí)踐。

首先,由于滲透測(cè)是看上去就好像是攻擊,那么在執(zhí)行這樣的測(cè)試之前,與云計(jì)算供應(yīng)商進(jìn)行充分的事前溝通則是非常重要的。

其次,應(yīng)確定一份具體的測(cè)試對(duì)象清單,具體包括服務(wù)器、終端、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)和持久性數(shù)據(jù)存儲(chǔ)。你可以使用諸如Metasploit之類(lèi)的工具或者諸如Tinfoil安全這樣的第三方服務(wù)供應(yīng)商所提供的安全掃描工具來(lái)執(zhí)行滲透測(cè)試。但無(wú)論使用哪種方法,你都需要一個(gè)包括待測(cè)試組件信息的明確定義列表。

然后,確定需要執(zhí)行哪些測(cè)試。開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)所維護(hù)的一份列表中就包括了Web應(yīng)用程序的十大安全漏洞。這是一個(gè)很好的起點(diǎn),我們可以將其視為企業(yè)用戶(hù)應(yīng)予以重點(diǎn)關(guān)注測(cè)試的最小漏洞集合。該列表包括了注入攻擊、中斷會(huì)話(huà)管理與認(rèn)證、跨站點(diǎn)腳本程序和安全性錯(cuò)誤配置。

請(qǐng)務(wù)必確保測(cè)試所有的潛在攻擊點(diǎn)。你有可能希望用戶(hù)一直使用你所提供的網(wǎng)絡(luò)接口,但是攻擊者可以直接利用Web服務(wù)或數(shù)據(jù)庫(kù)服務(wù)器。在你的應(yīng)用程序堆棧中測(cè)試所有面向公眾的接入點(diǎn),其中包括API函數(shù)和應(yīng)用程序接口。

如果你擁有足夠的時(shí)間和資源,那么還應(yīng)針對(duì)無(wú)法從互聯(lián)網(wǎng)訪問(wèn)的服務(wù)進(jìn)行測(cè)試。例如,你可能需要配置你的數(shù)據(jù)庫(kù)服務(wù)器以便于只接受來(lái)自于你的應(yīng)用程序服務(wù)器的連接。有的人可能會(huì)認(rèn)為這個(gè)數(shù)據(jù)庫(kù)是無(wú)法從Web端進(jìn)行訪問(wèn)的,所以它是受到一定程度保護(hù)的,但是這一點(diǎn)并不一定是正確的。

安全措施有可能會(huì)失效。如果能夠訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的應(yīng)用程序服務(wù)器被攻陷,那么黑客們就可以將應(yīng)用程序服務(wù)器作為攻擊數(shù)據(jù)庫(kù)服務(wù)器的主機(jī)。所以,在不影響正常功能的情況下,應(yīng)盡可能多地強(qiáng)化數(shù)據(jù)庫(kù)服務(wù)器的安全措施。按照縱深防御的做法,實(shí)施多種控制措施來(lái)保護(hù)數(shù)據(jù)和系統(tǒng)資源。數(shù)據(jù)庫(kù)服務(wù)器的安全性不應(yīng)只是依靠一個(gè)具有較高安全性的應(yīng)用程序服務(wù)器。

最后,請(qǐng)記得并不是所有的攻擊都是來(lái)自于組織外部的。來(lái)自?xún)?nèi)部的攻擊有可能可以合法且惡意地訪問(wèn)眾多系統(tǒng)。審查日志文件,從而確定是否捕獲足夠的信息以便于對(duì)一個(gè)實(shí)際的攻擊做出響應(yīng)。此外,還應(yīng)檢驗(yàn)安全信息和事件管理軟件的功能。應(yīng)確保按照預(yù)先設(shè)計(jì)發(fā)出警報(bào),以安全專(zhuān)家能夠確定警報(bào)原因的形式向他們提交安全數(shù)據(jù)。


網(wǎng)站欄目:如何用滲透測(cè)試計(jì)劃鎖定你的云?
當(dāng)前路徑:http://www.5511xx.com/article/dpdhcoo.html