我的空間查看蟻鼻退出登錄

搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >互聯(lián)網(wǎng)?IT > 云計算 > 云服務(wù)器（IAAS） > 正文

針對AWS、谷歌和Azure的云滲透測試有什么不同？

來源：TechTarget中國：Dan Sullivan 2015-11-05 16:51:06

滲透測試可以幫助企業(yè)將他們在公有云環(huán)境中的漏洞找出來。但是針對AWS、谷歌和Azure的測試需求有什么不同呢？

很多企業(yè)IT部門使用云滲透測試來確定和解決他們在云計算環(huán)境中的潛在安全缺陷。但是，在公有云平臺上執(zhí)行一項滲透測試之前，理解你的云供應(yīng)商的唯一測試需求很重要。

滲透測試模仿了實際的攻擊，因此在執(zhí)行之前要和云供應(yīng)商進(jìn)行協(xié)調(diào)。下面是在亞馬遜Web服務(wù)(AWS)、谷歌計算引擎和微軟Azure上執(zhí)行一項云滲透測試之前需要知道的一些事情。

對于AWS，客戶必須在進(jìn)行測試前提交申請表。這個審批表收集了一些信息，關(guān)于誰將執(zhí)行測試、第三方聯(lián)系信息、已掃描的服務(wù)器IP地址以及掃描源和測試的預(yù)計時間和日期?？蛻舨荒茉趍1.small或者t1.micro實例上進(jìn)行測試或者其他的掃描。這是為了避免對于其他共享相同服務(wù)器的客戶造成負(fù)面影響。

谷歌計算引擎和應(yīng)用引擎的用戶在執(zhí)行云滲透測試之前，需要咨詢《服務(wù)條款和可接受使用策略》。谷歌明確聲明這項測試應(yīng)該只影響測試者的應(yīng)用，而不是其他用戶或者服務(wù)。谷歌也有一個漏洞獎勵項目來獎勵發(fā)現(xiàn)了谷歌應(yīng)用或者服務(wù)漏洞的安全搜查員和專家;然而，并不適用于第三方應(yīng)用。

微軟有一套正規(guī)的程序來批準(zhǔn)云滲透測試請求。云供應(yīng)商要求客戶至少在滲透測試前七天提交請求。如果你發(fā)現(xiàn)了一項Azure的潛在漏洞，應(yīng)該報告給微軟。微軟對于三種常見的漏洞提供加快審批：OWASP top 10 Web測試、模糊測試端點以及端口掃描。微軟不允許拒絕服務(wù)測試。

云滲透測試在云計算適當(dāng)?shù)念I(lǐng)域是一個有用的工具。共享的云安全模型引入了一些額外的協(xié)調(diào)挑戰(zhàn)，但是值得嘗試。

編輯：閆春春

關(guān)鍵字：谷歌 AWS