日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
云計(jì)算滲透測(cè)試的考慮因素及建議

云計(jì)算滲透測(cè)試是一種通過(guò)模擬惡意代碼的攻擊來(lái)主動(dòng)檢查云系統(tǒng)安全的方法。

神木網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),神木網(wǎng)站設(shè)計(jì)制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為神木上千提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢,請(qǐng)找那個(gè)售后服務(wù)好的神木做網(wǎng)站的公司定做!

由于對(duì)基礎(chǔ)設(shè)施的影響,滲透測(cè)試往往不適用于SaaS環(huán)境,在PaaS、IaaS中是允許的,但是需要一些協(xié)調(diào)。

云計(jì)算的滲透測(cè)試屬于定期安全監(jiān)控,以監(jiān)控威脅、風(fēng)險(xiǎn)和漏洞的存在。而SLA合同將規(guī)定允許哪種類型的滲透測(cè)試,以及可以多久進(jìn)行一次。

為了幫助企業(yè)安全主管高效實(shí)施云計(jì)算安全測(cè)試,以下我們整理了云計(jì)算滲透測(cè)試的快查清單以及相關(guān)重要注意事項(xiàng):

一、云計(jì)算滲透測(cè)試清單

(1) 檢查服務(wù)水平協(xié)議并確保云服務(wù)提供商(CSP)和客戶之間已達(dá)成相關(guān)政策;

(2) 為維護(hù)治理與合規(guī)性,檢查云服務(wù)提供商和訂閱者之間的適當(dāng)責(zé)任;

(3) 檢查服務(wù)水平協(xié)議文件并跟蹤C(jī)SP的記錄,確定維護(hù)云資源的角色和責(zé)任;

(4) 檢查計(jì)算機(jī)和互聯(lián)網(wǎng)使用政策,并確保已按照正確的政策實(shí)施;

(5) 檢查未使用的端口和協(xié)議,并確保應(yīng)阻止相關(guān)服務(wù);

(6) 檢查存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)是否默認(rèn)加密;

(7) 檢查使用的雙因素身份驗(yàn)證,并驗(yàn)證OTP以確保網(wǎng)絡(luò)安全;

(8) 檢查URL中云服務(wù)的SSL證書有效性,并確保是從正式的證書頒發(fā)機(jī)構(gòu)(COMODO、Entrust、GeoTrust、Symantec、Thawte 等)購(gòu)買的證書;

(9) 使用適當(dāng)?shù)陌踩刂茩z查接入點(diǎn)、數(shù)據(jù)中心、設(shè)備的組件;

(10) 檢查向第三方披露數(shù)據(jù)的政策和程序;

(11) 檢查CSP是否在需要時(shí)提供克隆和虛擬機(jī);

(12) 檢查云應(yīng)用程序的正確輸入驗(yàn)證,以避免Web應(yīng)用程序攻擊,例如XSS、CSRF、SQLi等。

二、云計(jì)算攻擊

(1) 跨站請(qǐng)求

CSRF是一種旨在誘使受害者提交惡意請(qǐng)求以作為用戶執(zhí)行某些任務(wù)的攻擊。

(2) 旁路攻擊

這種類型的攻擊對(duì)于云來(lái)說(shuō)是獨(dú)一無(wú)二的,并且可能非常具有破壞性,但它需要技巧和一定的運(yùn)氣。這種形式的攻擊試圖通過(guò)利用受害者使用云中共享資源的事實(shí)來(lái)間接破壞受害者的機(jī)密性。

(3) 簽名封裝攻擊

該類型的攻擊并非云環(huán)境獨(dú)有,但仍然是一種危及Web應(yīng)用程序安全性的危險(xiǎn)方法?;旧希灻庋b攻擊依賴于對(duì)Web服務(wù)中使用的技術(shù)的利用。

  • 云環(huán)境中的其它攻擊
  • 使用網(wǎng)絡(luò)嗅探進(jìn)行服務(wù)劫持
  • 使用XSS攻擊的會(huì)話劫持
  • 域名系統(tǒng)(DNS)攻擊
  • SQL注入攻擊
  • 密碼分析攻擊
  • 拒絕服務(wù)(DoS)和分布式DoS攻擊

三、云滲透測(cè)試的重要考慮因素

(1) 在云環(huán)境中的可用主機(jī)上執(zhí)行漏洞掃描;

(2) 確定云的類型,是SaaS、IaaS還是PaaS;

(3) 確定云服務(wù)提供商允許的測(cè)試類型;

(4) 檢查CSP的協(xié)調(diào)、安排和執(zhí)行測(cè)試;

(5) 執(zhí)行內(nèi)部和外部滲透;

(6) 獲得執(zhí)行滲透測(cè)試的書面同意;

(7) 在沒(méi)有防火墻和反向代理的情況下對(duì)Web應(yīng)用程序/服務(wù)執(zhí)行Web滲透測(cè)試。

四、云滲透測(cè)試的重要建議

(1) 使用用戶名和密碼驗(yàn)證用戶;

(2) 通過(guò)關(guān)注服務(wù)提供商政策來(lái)保護(hù)編碼政策;

(3) 采用強(qiáng)化的密碼策略前必須告知用戶;

(4) 敏感信息定期更改,例如用戶帳戶名、云提供商分配的密碼;

(5) 保存在滲透測(cè)試過(guò)程中發(fā)現(xiàn)的信息漏洞;

(6) 對(duì)測(cè)試的密碼使用加密協(xié)議;

(7) 針對(duì)SaaS應(yīng)用程序使用集中式身份驗(yàn)證或單點(diǎn)登錄;

(8) 使用最新的安全協(xié)議。

通過(guò)專業(yè)的網(wǎng)站建設(shè)開發(fā)服務(wù),幫助企業(yè)打造獨(dú)特的品牌形象,提高市場(chǎng)競(jìng)爭(zhēng)力。成都網(wǎng)站開發(fā),十年建站經(jīng)驗(yàn),讓您的網(wǎng)站更省心省時(shí),更省力我們更專業(yè),創(chuàng)新互聯(lián)為您提供更省時(shí)更放心的建站方案。


分享標(biāo)題:云計(jì)算滲透測(cè)試的考慮因素及建議
鏈接分享:http://www.dlmjj.cn/article/dppscgs.html