云計算滲透測試是通過模擬惡意代碼的攻擊，主動檢查云系統安全的一種方式。

由于對基礎設施的影響，滲透測試往往不適合SaaS環境，這在PAAS和IAA中是允許的，但需要一些協調。

云計算滲透測試屬于定期安全監控，用于監控威脅、風險和漏洞的存在。 SLA 合同將指定允許的滲透測試類型以及執行頻率。

為幫助企業安全監管人員高效實施云計算安全測試，我們整理了云計算滲透測試速查清單及相關重要注意事項如下：

一、云計算滲透測試清單

1.檢查服務水平協議，確保云服務提供商（CSP）與客戶之間已達成相關政策；

2.為維護治理和合規性，檢查云服務提供商和訂閱者之間的適當責任；

3.查看服務水平協議文件，跟蹤CSP記錄，確定維護云資源的角色和職責；

4.檢查計算機和互聯網使用政策，確保已按照正確的政策執行；

5.檢查未使用的端口和協議，確保相關服務被屏蔽；

6.檢查存儲在云服務器中的數據是否默認加密；

7.檢查使用的雙因素認證并驗證OTP以確保網絡安全；

8.檢查URL中云服務SSL證書的有效性，確保證書是從正規認證機構（Comodo、enter、GeoTrust、Symantec、Thawte等）購買的；

9.檢查接入點、數據中心和設備的組件，進行適當的安全控制；

10.檢查向第三方披露數據的政策和程序；

11.必要時檢查CSP是否提供克隆和虛擬機；

12.檢查云應用的正確輸入驗證，避免Web應用攻擊，如XSS、CSRF、sqli等。

二、云計算攻擊

跨站請求

CSRF 是一種旨在誘使受害者提交惡意請求以作為用戶執行某些任務的攻擊。

繞過攻擊

這種類型的攻擊是云獨有的，可以是非常具有破壞性的，但需要技巧和一點運氣。這種形式的攻擊試圖利用受害者使用云中共享資源的事實來間接破壞受害者的機密性。

簽名封裝攻擊

這種類型的攻擊并不是云環境獨有的，但它仍然是一種危及 Web 應用程序安全的危險方式。基本上，簽名封裝攻擊依賴于 Web 服務中使用的技術的使用。

云環境中的其他攻擊

使用網絡嗅探器劫持服務

使用 XSS 攻擊的會話劫持

DNS攻擊

SQL注入攻擊

密碼分析攻擊

Dos 和分布式 DoS 攻擊

三、云滲透測試的重要考慮

1.對云環境中的可用主機進行漏洞掃描；

2.確定云類型、SaaS、IAA 或 PAAS；

3.確定云服務商允許的測試類型；

4.檢查CSP測試的協調、安排和執行；

5.實施內外滲透；

6.獲得進行滲透測試的書面同意；

7.對沒有防火墻和反向代理的Web應用/服務進行Web滲透測試。

四、云滲透測試重要建議

1.使用用戶名和密碼驗證用戶；

2.通過關注服務提供商政策來保護編碼政策；

3.使用增強密碼策略前必須告知用戶；

4.敏感信息定期更改，如云提供商分配的用戶賬號和密碼；

5.保留滲透測試過程中發現的信息漏洞；

6.測試密碼使用加密協議；

7.SaaS應用采用集中認證或單點登錄；

8.使用最新的安全協議。

以上就是云計算滲透測試的考慮因素與建議，希望能幫助到大家。