2022云渗透测试技术指南.docx

《2022云渗透测试技术指南.docx》由会员分享，可在线阅读，更多相关《2022云渗透测试技术指南.docx（17页珍藏版）》请在优知文库上搜索。

1、云渗透测试技术指南2022目录前言6本文范围7云渗透测试范围7上下文中的云渗透测试10云渗透测试的目标11云渗透测试用例和关注点121 .准备工作122 .威胁模型133 .侦察和研究134 .测试155 .报告20法规20培训和资源21结论22参考23前后安全测试是云环境、系统和服务实现安全保障的关键。在本文中，我们探讨在云环境渗透测试中最具主导性的安全测试模式。根据NlST（美国国家标准与技术研究院）的定义，渗透测试是针对信息系统或独立系统模块执行专业性的技术评估，识别可能被对手利用的漏洞。这些测试能被用于识别漏洞或用于在一系列约束条件下，决定企业信息系统投入对抗的程度（如时间、资源和技能

2、）】，ENISA（欧洲网络及信息安全局）针对渗透测试的定义与NIST2类似。传统上，渗透测试的主要目标是识别技术上的安全弱点和系统健壮性。然而，安全测试更广泛地应用在评估企业的安全策略实现、合规要求的落实，员工安全意识的有效性，以及对安全事件的识别与响应能力。3因此，渗透测试对于任何全面的网络防御都是必选项，为系统安全提供可见性，并为系统和相关环境的安全提供高度可操作的缓解措施。随着云服务持续在新技术领域的应用，大量商业组织大量将云作为基础设施。因此需要将渗透测试的范围扩展到公有云。本文旨在为公有云渗透测试提供基础方法论，以及设计适用于公有云环境和服务的当前和未来技术的测试方法。此外，本文聚焦

3、于对在云环境运行的应用和服务执行渗透测试，弥补了对公有云环境内的信息系统和应用程序进行安全测试的方法与认知差距。目标受众本文目标受众是渗透测试人员、云或基于云系统的安全从业人员。不过最初几页主要面向CIO、ClSo和高级管理人员，帮助他们理解云端渗透测试的定义、范围、上下文、目标，以及如何在网络安全战略中落实。此外本文对开发人员和架构师设计云中系统的安全性也会有帮助。本文目标： 提升读者对云渗透测试在网络安全战略中的重要性和云渗透测试方法的认识 为读者介绍云渗透测试的原则和注意事项 为渗透测试人员在公有云环境中更好地交付详尽全面的安全测试提供指导本文范围本文聚焦公有云环境上系统和服务的安全测试

4、，即由云客户管理控制的系统与服务。例如，IaaS环境中云客户所管理与控制的虚拟主机就属于本文探讨范围，然而由云服务提供商控制的虚拟化管理程序（hypervisor）则不在本文范围内。另外对于混合云测试场景，混合接口和本地环境（内部部署，又叫遗留基础设施）也不在本文范围内。本文涉及的云渗透测试方法与以下内容是互补的对如何测试云端应用和系统的部署/实现有指导，但不涉及应用程序本身的安全测试。那是OWASP（开放Web应用程序安全项H）所覆盖的。府财源鹤麋虽然其中概述了测试程序和交付阶段，以及一些并非云独有的测试用例，但这纯粹是为了上下文和尽职调查而做的，并不全面。云特有的测试用例和注意事项是对现有

5、安全测试框架的有力补充，这样更简单也更方便与现有测试框架集成。本文还提供关于公有云安全测试、培训机会和资源的范围界定，以及法律方面的思考与见解。云渗透测试范围基于云的系统、环境和服务的安全测试对于公有云来说是微妙且独特的。共享责任模型的测试范围由云服务提供商（CSP）全权负责的安全控制措施通常不在云用户委托的渗透测试范围内。例如，在软件即服务（SaaS）环境中，渗透测试人员被授权允许用特定用户的权限发起业务级攻击（即批准测试）。然而，测试人员不应在SaaS应用程序中测试访问控制（会话校验）或SaaS应用程序的输入过滤（即SQL注入）。这是因为测试会涉及破坏底层基础设施，超出了渗透测试人员所获得

6、的权限范围。因此，除非获得CSP的明确许可，底层基础设施通常不在渗透测试的范围内。云渗透测试不会挑战，而是考虑并利用底层技术的设计和代码完整性。例如：在云服务、技术和服务提供中利用缺陷、常见错误配置和已知漏洞，属于基于云应用/资产测试的范围之内，但是针对云服务的取证、逆向工程和研究则不是二共享责任模型云渗透测试测的是云消费者权限范围内的安全性，而不是云本身的安全性。例如，在IaaS环境中，如图1所示，用户访问/身份、数据、应用程序和操作系统层都在范围内。而红线以下的所有其他组件，均由CSP控制和管理，因此不在范围内。同样的逻辑也适用于PaaS和SaaS环境的渗透测试范围，取决于云服务模型。测试

7、的程度和范围取决于云服务提供商提供的各种服务。尽管如此，云服务中意外发现的任何缺陷和漏洞也应给予通报。蓝色-云用户/消费者安全责任灰色-云服务提供商安全责任图1.共享安全责任模型安全测试的范围和测试用例也因不同服务模型而异（图1）。在SaaS应用程序中范围较小：仅包括数据和用户访问/身份控制。在PaaS模式中，应用层（和一些平台配置）囊括在安全测试范围之内，所有较低的层都被排除在外。同样的原则也适用于IaaS,随着客户的责任边界扩大，潜在安全测试范围也会随之扩大。实施或移动工作负载都可能会改变潜在安全测试（和漏洞）的范围。会引入额外的测试范围（例如，云管理平面），但一些测试仍然由CSP负责（如

8、虚拟化、硬件，有时还有操作系统）。如果云客户从云服务提供商获得授权，在云服务提供商的控制和管理下测试云组件，那么云测试服务边界的划分将会变得更加复杂和模糊。公有云渗透测试范围虽然客户端应用程序在IaaS和PaaS环境的测试范围内，但本文并未详细介绍应用层（如SQL注入、XSS）和操作系统层（如虚拟机）测试方法，因为这些在OWASP和其他资料中均有详细介绍。因此，本文仅涉及以下方面： 与用户身份和权限相关的账户安全（如身份认证和鉴权、日志、账号加固、云身份联合和单点登录界面等） 与云租户可以配置的数据结构和云基础设施相关的云安全性（如S3存储桶策略、VPC网络访问控制、ClOUdFOrmatiO

9、n风险模板等） 受终端用户控制的应用程序/业务逻辑安全（如应用程序设计缺陷、业务逻辑缺陷、代码脚本缺陷、数据泄露防护等）应用程序、数据、业务逻辑如织治理信任列表即使其中任何一个被排除在渗透测试范围之外，渗透测试的范围也可以并且应该考虑这三个方面，因为这三个方面是互相影响的。例如: 错误配置的用户账户（忽略了账户级的授权及访问控制机制）可能并将最终提高应用程序出现漏洞的可能性和漏洞的严重性 AWS中的应用程序可能设计、应用或配置不当，导致其具备较高的云权限（例如拥有管理员权限），这被视为最高威胁，。 忽视了账户级别的额度管控和预算控制可能会导致拒绝服务、资源不足或过度消费上下文中的云渗透测试渗透

10、测试，也称动态测试，通常在代码开发和部署后运行，即便不在生产环境中。重要的是要记住，渗透测试不一定是最好或最有效的测试形式，它的适用性取决于需求背景和目的。例如，当评估对象是部署在云环境中的活跃产品或功能时，建议采用本文所述的方法测试，但若只是为了评估某一个刚刚被设计的功能，威胁建模是最佳选择。在微软定义的安全开发生命周期中，安全测试工作处于验证阶段，包括动态测试和威胁模型/攻击面验证。保障计划渗透测试也可以（并且经常）成为安全计划的一部分，CREST一直在倡导他们的测试计划。CREST的计划旨在帮助组织有效管理正在执行或交付的渗透测试，概述了将渗透测试的价值最大化的步骤以及最佳实践，因此看起

11、来似乎存在一些“重复的范围”，但必须指出的是，渗透测试服务接收者的“准备期”是有别于渗透测试提供者（即提供渗透测试服务的厂商）的“准备期”的。本文中描述的方法是从安全服务提供商的角度写的，这种角度符合并满足一些“客户/接收者”的需求，例如在测试阶段，特别是“使用有效的测试方法”的需求。“后续行动”阶段为渗透测试的接收者提供了指导，指导他们根据交付的成果采取行动，以及评估渗透测试的有效性，这不在本文档描述的范围内。另外，如果云环境/系统在范围内，那么本指南会做出说明，非云范围的还是需要各自的方法和参考。云渗透测试指南改编自CREST测试方案的准备（第3部分）和测试（第4部分）两个章节，并提出了5

12、个主要阶段：准备、威胁建模、侦察和研究、测试以及报告撰写。本文档详细介绍了每个阶段中独特的云安全测试用例和注意事项。云渗透测试的目标渗透测试的目的是识别代码漏洞、配置漏洞以及其他不安全的实现，并给出有效的缓解建议。请务必记住，以下测试用例仅仅考虑独特的、云场景下的测试用例和缺陷。云只是承载了许多不同功能和用途（例如工作负载、存储或容器）的画布，渗透测试的结果因云上部署的业务而异，正常来说，这些组件需要参考自己的测试指南。我们选择模型是STRIDE,它是微软为识别计算机威胁而开发的威胁模型，通过探索可能出现的错误指导攻防工作。我们通过STRIDE模型对建议的测试用例分组，因为它的术语和格式已经被

13、广泛认识和使用。 欺骗-冒充、伪装或以其他方式伪造自己的身份或特征。在云渗透中，身份欺骗通常采用窃取云环境登录凭据的的方式去利用该账号的权限。 篡改-破坏、修改或伪造记录、进程或产品，达到恶意的目的或为攻击者的其他目标或攻击链服务。在云测试中，篡改通常采取修改日志记录、修改主机镜像、篡改API、数据库或数据的形式。 抵赖造成对日志或数据的真实性存在争议、缺乏或损害的情况。云测试中的抵赖通常采用删除或关闭日志记录的方式，或利用云服务和机制来掩盖某个行为或事件。 信息泄漏隐私侵犯或向未经授权的对象或公众泄露信息。在云测试中，信息通常从错误配置的公有云存储中泄露。 拒绝服务使目标用户无法使用系统、功

14、能或资源的行为。在云测试中，拒绝服务通常采取破坏或加密云资源、禁用账户、凭据或用户的形式出现。 权限提升-利用漏洞或配置实现超出预期的访问权限或特权提升的行为。在云测试中，权限提升通常采取利用错误配置的IAM权限的形式，这些权限允许升级，或允许使用受损服务或目标系统。云渗透测试用例和关注点黑色的项目是已经包含在标准渗透测试任务和框架中的传统项目。蓝色的项目与云环境相关，应该考虑予以测试。通常情况括号里的内容是示例或参考。1.准备工作a.与用户签订保密责任和测试协议b.定义并同意渗透测试的目的和范围i确定测试限制条件ii.确定作用范围内的目标和环境1.云账户是否在范围内？2 .云供应链服务和合作

15、伙伴是否在范围内？3 .在范围内是否考虑了不同的租户?他们被排除在外了吗？他们目标明确吗？什么被认为是独立租户？4 .是否考虑获得CSP测试的批准/限制？5 .了解对公有云的攻击量和风险的详细评估C.依据适当的（通常是公开的）安全测试过程，对每个云服务提供商和用户进行.透测试d提供、接收需求规范i .考虑云合规、指导和框架（例如CSAeCM）e制定、同意并签署渗透测试工具、策略和程序（TTP）,以及方法论i.非云TTP,如OWASP应用程序测试指南ii .z侦察，网络钓鱼，账号劫持/密码重置TTPiii .用于识别漏洞利用的云审计最佳工具Azurite,ScoutSuiteM用于欺骗、篡改、拒绝、信息泄露、拒绝服务和提高特权的可接受的和最低限度的测试用例V.对目标、结构和证据采取行动，以证明测试成功并达到目标vi.实施管理控制和操作流程vii.指定联络点viii提交和管理变更请求ix解决测试操作问题x隔离、限制和解决测试对系统的影响2 .威胁模型a.将用户的关注点、目的和各种规范都包含在威胁模型中b.在范围内执行威胁模型i通盘考量特定云服务提供商，部署和使用威胁模型也考虑云威胁（最大威胁）的行业