越来越多的企业将数据和应用程序迁移到云中，云安全的重要性空前，其风险更是空前。面对这些日益复杂的安全风险，评价云环境安全性不能再采用单一的面向云基础设施的安全管控标准，对云环境上运行的系统和应用的渗透测试也成为检验云安全的重要技术手段。

云渗透测试是云环境、系统和服务安全保障的关键。通过渗透测试能够直观识别技术上的安全弱点，同时可以验证系统的健壮性。但是云环境基础设施控制权的转移，使得云渗透测试的范围和边界跟传统渗透测试相比产生了很大的变化。对渗透测试也提出了更高的要求，不仅要基于共享责任模型来确定渗透测试的边界，还要考虑渗透测试的授权与合规问题。企业需要具有云渗透测试专业能力的安全人员，能够在云环境中进行云渗透测试，帮助企业及时发现并修复安全问题，提高云环境的安全性和稳定性，保障云上业务与数据资产的安全。

在这样的现实背景下，云渗透能力对安全人员与渗透测试人员都是亟需补充的能力，云安全联盟大中华区开发了云渗透测试课程，并计划在2023年第六届云安全联盟大中华区大会（CSA GCR Congress）上正式推出云渗透测试认证专家培训与认证计划（Certified Cloud Penetration Test Professional,CCPTP），旨在提供针对云计算渗透测试所需的专业实操技能，弥补云渗透测试技能人才培养的空缺，为专业人员提供技能保证，为用人单位选拔人才作保障。

CCPTP适用于渗透测试人员、安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等，需具备一定的云计算、云安全、或渗透测试的基础知识。

通过CCPTP课程学习，要求学员系统掌握如何开展云计算下的渗透测试工作，在云上授权目标系统中寻找弱点和漏洞，并以合法的方式评估目标系统的安全状态，同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。 

• 熟练掌握常见云服务模型（IaaS、PaaS、SaaS）测试方法及主流云平台在租户视角的最佳安全实践，包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识，例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等。

• 要求熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度，按照从云上资产发现与信息收集阶段开始，依照云上租户应用层至云底层基础设施层的层级顺序，学习相关的渗透测试方法、测试工具，并具备渗透测试的实操能力。

• 根据渗透测试的情况撰写专业的云渗透测试报告（报告内容包括但不限于漏洞证明过程、修复或安全加固建议）。