登录
首页
会员
活动
研究
培训
评测认证
解决方案
关于我们
2023.06.07
3739
一 、云的服务模式
云安全联盟(CSA)使用NIST 云计算模型作为定义云计算的标准,其中云服务服务商主要基于三种标准服务模式提供服务,即基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。这些模型提供了不同程度的抽象逻辑进行管理。CSA 还支持更深入地支持ISO/IEC相关模型,并作为参考模型[1]。根据 NIST以及ISO/IEC17788 的定义,云计算服务模式的定义及特点如下表所示:
二、云安全责任共担对云渗透测试的影响
云渗透测试不同于普通渗透测试。其中一个区别是,根据具体范围及云的服务模式不同,所进行的云渗透工作也会有所区别。目前,云安全责任共担模式在业界已经达成共识。安全责任总是分为两部分,一部分由云服务服务商CSP承担,另一部分则由云上客户来承担。亚马逊AWS、微软Azure,华为云,阿里云等云服务厂商均采用了与用户共担风险的安全策略。无论是IaaS、PaaS、还是SaaS模式都应做好云安全责任共担的安全责任设计进行云渗透测试。
在大型分布式企业中,编排渗透测试的团队需要识别所有受影响的团队,并与他们协调安全流程。如果该渗透测试识别出基础托管服务商中的漏洞,则可能需要阻止该服务商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响,并将发现的结果通知给服务商。
同时在不同云环境中,基于云的系统、环境和服务的安全测试的范围具有细微差别的。例如由云服务服务商(CSP)全权负责的软件即服务模式即Software as a Service (SaaS)的安全控制通常不在云用户委托的渗透测试范围内。
三、云安全责任共担举例
渗透测试是对系统、服务或网络执行攻击性安全测试以发现其中的安全弱点的过程。因此,在云渗透测试方面,它只是对您的云服务执行模拟攻击以测试其安全性。《CSA 云渗透测试指南》[2]中涉及的测试范围根据云安全责任共担模型进行合理调整。以腾讯云[3]为例,不同的服务模式进行的安全责任也有所不同。具体说明如下表所示:
四、云渗透测试工作
根据NIST的定义,渗透测试是对信息系统或单个系统组件进行的一种专门类型的评估,以识别可能被对手利用的漏洞。这可以用于识别漏洞或确定组织信息系统在一组指定约束条件下对攻击者的抵抗程度。
通过云渗透测试验证云服务模型是否为其用户提供了安全可靠的云环境,通过云渗透测试识别服务商平台的不同的云安全风险和安全态势,需要基于云安全责任共担的识别,开始云云渗透测试准备工作。根据PDCA质量模型识别云渗透测试具体工作,如下表所示:
五、CCPTP云渗透测试认证专家介绍
CCPTP(Certifified Cloud Penetration Test Professional)云渗透测试认证专家认证与培训项目由云安全联盟大中华区发布,是全球首个针对云环境渗透测试能力的认证课程,旨在提供针对云计算渗透测试所需的专业实操技能,弥补云渗透测试认知的差距和技能人才培养的空白,提升专业人员能力及提供认证证书,为云计算产业发展提供渗透人才队伍保障。认证课程包含了云渗透测试知识体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论 以及实操技术等内容。
课程对象:适用于渗透测试人员、安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等,需具备一定的云计算、云安全或渗透测试的基础知识。
课程目标:通过CCPTP课程学习,要求学员系统掌握如何开展云计算下的渗透测试工作,在云上授权目标系统中寻找弱点和漏洞,并以合法的方式评估目标系统的安全状态,同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。
- 熟练掌握常见云服务模型(IaaS、PaaS、SaaS)测试方法及主流云平台在租户视角的最佳安全实践,包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识,例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等。
- 要求熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度,按照从云上资产发现与信息收集阶段开始,依照云上租户应用层至云底层基础设施层的层级顺序,学习相关的渗透测试方法、测试工具,并具备渗透测试的实操能力。
- 根据渗透测试的情况撰写专业的云渗透测试报告(报告内容包括但不限于漏洞证明过程、修复或安全加固建议)。
六、参考
[1]CSA CCSK 云安全指南4.0https://c-csa.cn/research/results-detail/i-190/
[2]CSA 云渗透测试指南https://c-csa.cn/research/results-detail/i-1816/
[3] 腾讯云安全白皮书https://main.qcloudimg.com/raw/cf70533c2a60ec66e5c133cc0a02a92e.pdf
本文作者:李岩
数字化管理布道师:CSA数字化安全(CCSK、CDSP、CBP、CCPTP)首批讲师、EXIN数字化转型课程(业务敏捷、DevOps、、Scrum、精益看板、人工智能,云计算、云服务、云安全、ISO27001、ISO20000)首批讲师、PMI-ACP敏捷项目管理首批讲师,APMG ISO 27001/ISO20000/Cobit全系列课程讲师,ITIL数字化运营首批全系列讲师。