2022云滲透測試技術(shù)指南

PAGEPAGE4云滲透測試技術(shù)指南2022PAGEPAGE5目錄前言 6本范圍 7云透測范圍 7上文中云滲測試 10云透測的目標(biāo) 11云透測用例關(guān)注點(diǎn) 12準(zhǔn)工作 12威模型 13偵和研究 134.測試 155.報告 20法規(guī) 20培和資源 21結(jié)論 22參考 23前言安全測試是云環(huán)境、系統(tǒng)和服務(wù)實(shí)現(xiàn)安全保障的關(guān)鍵。在本文中，我們探討在云環(huán)境滲透測試中最具主導(dǎo)性的安全測試模式。根據(jù)NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）的定義，滲透測試是針對信息系統(tǒng)或獨(dú)立系統(tǒng)模塊執(zhí)行專業(yè)性的技術(shù)評估，識別可能被對手利用的漏洞。這些測試能被用于識別漏洞或用于在一系列約束條件下，決定企業(yè)信息系統(tǒng)投入對抗的程度（如時間、資源和技能）1，ENISA（歐洲網(wǎng)絡(luò)及信息安全局）針對滲透測試的定義與NIST2類似。傳統(tǒng)上，滲透測試的主要目標(biāo)是識別技術(shù)上的安全弱點(diǎn)和系統(tǒng)健壯性。然而，安全測試更廣泛地應(yīng)用在評估企業(yè)的安全策略實(shí)現(xiàn)、合規(guī)要求的落實(shí)，員工安全意識的有效性，以及對安全事件的識別與響應(yīng)能力。3因此，滲透測試對于任何全面的網(wǎng)絡(luò)防御都是必選項，為系統(tǒng)安全提供可見性，并為系統(tǒng)和相關(guān)環(huán)境的安全提供高度可操作的緩解措施。隨著云服務(wù)持續(xù)在新技術(shù)領(lǐng)域的應(yīng)用，大量商業(yè)組織大量將云作為基礎(chǔ)設(shè)施。因此需要將滲透測試的范圍擴(kuò)展到公有云。本文旨在為公有云滲透測試提供基礎(chǔ)方法論，以及設(shè)計適用于公有云環(huán)境和服務(wù)的當(dāng)前和未來技術(shù)的測試方法。此外，本文聚焦于對在云環(huán)境運(yùn)行的應(yīng)用和服務(wù)執(zhí)行滲透測試，彌補(bǔ)了對公有云環(huán)境內(nèi)的信息系統(tǒng)和應(yīng)用程序進(jìn)行安全測試的方法與認(rèn)知差距。目標(biāo)受眾本文目標(biāo)受眾是滲透測試人員、云或基于云系統(tǒng)的安全從業(yè)人員。不過最初幾頁主要面向CIO、CISO和高級管理人員，幫助他們理解云端滲透測試的定義、范圍、上下文、目標(biāo)，以及如何在網(wǎng)絡(luò)安全戰(zhàn)略中落實(shí)。此外本文對開發(fā)人員和架構(gòu)師設(shè)計云中系統(tǒng)的安全性也會有幫助。本文目標(biāo)：提升讀者對云滲透測試在網(wǎng)絡(luò)安全戰(zhàn)略中的重要性和云滲透測試方法的認(rèn)識為讀者介紹云滲透測試的原則和注意事項為滲透測試人員在公有云環(huán)境中更好地交付詳盡全面的安全測試提供指導(dǎo)PAGEPAGE7本文范圍IaaS（）本文涉及的云滲透測試方法與以下內(nèi)容是互補(bǔ)的-/的安全測試。那是）-本文還提供關(guān)于公有云安全測試、培訓(xùn)機(jī)會和資源的范圍界定，以及法律方面的思考與見解。云滲透測試范圍基于云的系統(tǒng)、環(huán)境和服務(wù)的安全測試對于公有云來說是微妙且獨(dú)特的。共享責(zé)任模型的測試范圍由云服務(wù)提供商（CSP）全權(quán)負(fù)責(zé)的安全控制措施通常不在云用戶委托的滲透測試范圍內(nèi)。例如，在軟件即服務(wù)（SaaS）環(huán)境中，滲透測試人員被授權(quán)允許用特定用戶的權(quán)限發(fā)起業(yè)務(wù)級攻擊（即批準(zhǔn)測試）。然而，測試人員不應(yīng)在SaaS應(yīng)用程序中測試訪問控制（會話校驗）或SaaS應(yīng)用程序的輸入過濾（即SQL注入）。這是因為測試會涉及破壞底層基礎(chǔ)設(shè)施，超出了滲透測試人員所獲得的權(quán)限范圍。因此，除非獲得CSP的明確許可，底層基礎(chǔ)設(shè)施通常不在滲透測試的范圍內(nèi)。云滲透測試不會挑戰(zhàn)，而是考慮并利用底層技術(shù)的設(shè)計和代碼完整性。例如： /范圍之內(nèi)不是。共享責(zé)任模型1/CSP和SaaS測試的程度和范圍取決于云服務(wù)提供商提供的各種服務(wù)。盡管如此，云服務(wù)中意外發(fā)現(xiàn)的任何缺陷和漏洞也應(yīng)給予通報。IaaS（基礎(chǔ)設(shè)施即服務(wù)）PaaS（平臺即服務(wù)）SaaS（軟件即服務(wù)）用戶身份/權(quán)限用戶身份//權(quán)限用戶身份/權(quán)限數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)應(yīng)用操作系統(tǒng)應(yīng)用操作系統(tǒng)應(yīng)用操作系統(tǒng)虛擬化虛擬化虛擬化網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施物理環(huán)境物理環(huán)境物理環(huán)境/灰色圖1.共享安全責(zé)任模型安全測試的范圍和測試用例也因不同服務(wù)模型而異（圖1）。在SaaS應(yīng)用程序中范圍較小：僅包括數(shù)據(jù)和用戶訪問/身份控制。在PaaS模式中，應(yīng)用層（和一些平臺配置）囊括在安全測試范圍之內(nèi)，所有較低的層都被排除在外。同樣的原則也適用于IaaS，隨著客戶的責(zé)任邊界擴(kuò)大，潛在安全測試范圍也會隨之?dāng)U大。實(shí)施或移動工作負(fù)載都可能會改變潛在安全測試（和漏洞）的范圍。會引入額外的測試范圍（例如，云管理平面），但一些測試仍然由CSP負(fù)責(zé)（如虛擬化、硬件，有時還有操作系統(tǒng)）。如果云客戶從云服務(wù)提供商獲得授權(quán)，在云服務(wù)提供商的控制和管理下測試云組件，那么云測試服務(wù)邊界的劃分將會變得更加復(fù)雜和模糊。公有云滲透測試范圍雖然客戶端應(yīng)用程序在IaaS和PaaS環(huán)境的測試范圍內(nèi)，但本文并未詳細(xì)介紹應(yīng)用層（如SQL注入、XSS）和操作系統(tǒng)層（如虛擬機(jī)）測試方法，因為這些在OWASP和其他資料中均有詳細(xì)介紹。因此，本文僅涉及以下方面： （）（如S3VPC網(wǎng)絡(luò)訪問控制、CloudFormation風(fēng)險模板等） /（）應(yīng)用程序、數(shù)據(jù)、業(yè)務(wù)邏輯應(yīng)用程序、數(shù)據(jù)、業(yè)務(wù)邏輯業(yè)務(wù)邏輯缺陷……服務(wù)VPC安全組S3存儲桶策略EC2開通和IAM接口訪問cloudformation風(fēng)險模板賬號IAM加固跨賬戶/信任列表即使其中任何一個被排除在滲透測試范圍之外，滲透測試的范圍也可以并且應(yīng)該考慮這三個方面，因為這三個方面是互相影響的。例如： （） （） 上下文中的云滲透測試滲透測試，也稱動態(tài)測試，通常在代碼開發(fā)和部署后運(yùn)行，即便不在生產(chǎn)環(huán)境中。重要的是要記住，滲透測試不一定是最好或最有效的測試形式，它的適用性取決于需求背景和目的。例如，當(dāng)評估對象是部署在云環(huán)境中的活躍產(chǎn)品或功能時，建議采用本文所述的方法測試，但若只是為了評估某一個剛剛被設(shè)計的功能，威脅建模是最佳選擇。在微軟定義的安全開發(fā)生命周期中，安全測試工作處于驗證階段，包括動態(tài)測試和威脅模型/攻擊面驗證。保障計劃C后續(xù)行動測試B滲透測試計劃AC后續(xù)行動測試B滲透測試計劃A準(zhǔn)備10PAGEPAGE11準(zhǔn)備期（/測試階段“后續(xù)行動”階段為滲透測試的接收者提供了指導(dǎo)，指導(dǎo)他們根據(jù)交付的成果采取行動，以及評估滲透測試的有效性，這不在本文檔描述的范圍內(nèi)。另外，如果云環(huán)境/系統(tǒng)在范圍內(nèi)，那么本指南會做出說明，非云范圍的還是需要各自的方法和參考。第3）（第4）云滲透測試的目標(biāo)滲透測試的目的是識別代碼漏洞、配置漏洞以及其他不安全的實(shí)現(xiàn)，并給出有效的緩解建議。請務(wù)必記住，以下測試用例僅僅考慮獨(dú)特的、云場景下的測試用例和缺陷。云只是承載了許多不同功能和用途（例如工作負(fù)載、存儲或容器）的畫布，滲透測試的結(jié)果因云上部署的業(yè)務(wù)而異，正常來說，這些組件需要參考自己的測試指南。STRIDE - -API - - - -IAM云滲透測試用例和關(guān)注點(diǎn)黑色的項目是已經(jīng)包含在標(biāo)準(zhǔn)滲透測試任務(wù)和框架中的傳統(tǒng)項目。藍(lán)色的項目與云環(huán)境相關(guān)，應(yīng)該考慮予以測試。通常情況括號里的內(nèi)容是示例或參考。準(zhǔn)備工作a.?在范圍內(nèi)是否考慮了不同的租戶?他們被排除在外了嗎?他們目標(biāo)明確嗎？什CSP/依據(jù)適當(dāng)?shù)模ㄍǔＪ枪_的）安全測試過程，對每個云服務(wù)提供商和用戶進(jìn)行云滲（CSACCM）（TTP）非云TTP，如/密碼重置TTPAzurite,ScoutSuite用于欺騙、篡改、拒絕、信息泄露、拒絕服務(wù)和提高特權(quán)的可接受的和最低限度x.隔離、限制和解決測試對系統(tǒng)的影響威脅模型/偵察和研究（IP）DNS記錄（N,MXNS,CName,A）DNSadfsauthfsoktapingssostsoauthopenIDsamlws，（API））configfiles）API/（通過服務(wù)API/或角色（例如使用賬戶內(nèi)已知或公共資源標(biāo)識符的AWS枚舉，或盲目地使用UpdateAssumeRolePolicy）idIAM）（如AzureARMAzureASMAzure）/（arn、AWS密鑰、Azure存儲賬戶名稱、AWS存儲桶名稱）1.（AWSBulletin）測試c#objectivecIOS?Pythonredhat?c++winforms測試比Azurelambda）MiTM（elb）（變量、azureServiceBusExplorer.exe實(shí)用工具、配置文件、ecs任務(wù)定義或azureARM）http）sts或AzureLinux代理（waagent））（AzureASM共同管理員賬戶或Azure存儲賬戶密鑰）（Azureasm）如stsazureSAS）（awsazure關(guān)鍵庫）SESSES:*SES）cookie測試（s3rds,redshift）（AWSlambda或Azurelogicapps）,cloud）s3Azure）ACM,Route53,AzureDNS）測試（（cloudtrail）iii./（VPCflowlogs）cloudGuardDuty、SecurityHub或Azure）s3）（s3kmscmk角色特權(quán)鎖定）Windows/Linuxf.信息泄漏測試（隱私泄露或數(shù)據(jù)泄露）IP（vpcacl,instancesgs）mitm）s3）cli/s3,rds快照,redshifelasticsearch域（s3awscligetdynamodump）（sessns）SQS）VPC））（EBSAMIs）（DoS）/（s3、rds）SMSsnsses）（dry-runcli）KMS按照CSP和用h.提權(quán)測試i.使用更高權(quán)限觸發(fā)云編排自動化（例如具有高度特權(quán)角色的云形成堆棧)（例ec2）例（例如set-default-policy-version）（iam:CreateAccessKey,stsoriam:UpdateLoginProfile）（例如iam:PutUserPolicysts:AssumeRole）GlueConsoleendpointwithpassrole,Azuremachinelearningstudio）datapipelineShellCommandActivityinjectpythoncodeintoapicklecelerysqsqueue）API（例如create-instance-profile和iam:passrole）（例如Get--Namewebappname）例如AzureGet-AzureStorageKey-StorageAccountName“Storage_Account_Name”）利用iam:AddUserToGroup等權(quán)限）sudo功能i.（）（EC2RDS））//IP（ec2IPv4）ssh（如lambda）（像azurevmvhd）SSMAzureAgent）/vm;（如powershell）、操作系統(tǒng)編排（如WMI）和管理框架（如配置管理器）j.持久性IPcli/consoleIP）/（GlueAzure/串行控制臺）/（）（ami例如VPC）（如sshrdp或80ELB）/lambdaec2）APIAPI如lambda&API）（lambdaec2、elbshellSQS）EC2UserDatashell）（Azure）（）如和