外部渗透测试在云技术中的地位举足轻重
出于安全考虑,许多企业将IT服务的重要部分卸载,应用程序和其他数据模糊的区域被称为云。很多时候,数据迁移到云意味着将数据迁移到服务器或一个服务器集群,保留在远程数据中心。如果不必将数据传输到另一个地方,远程卸载数据是一种常被推荐的安全操作。
然而,即使将处理数据的责任转移,这些数据真的更安全吗?云用户如何知道数据中心比原来数据托管的地方更安全呢?答案就是要及时了解数据托管中心是否已经完成渗透测试。
外部渗透测试的好处
许多网络企业定期进行渗透测试。这使企业安全技术人员获得全面、最新的系统安全情况。此外,外部渗透测试基础设施允许企业估计符合安全标准。一些企业有专门的团队,针对自己的网络进行渗透测试。然而,大多数企业依靠更专业的第三方人员进行渗透测试。
一些组织以某种形式接受、处理和储存支付卡行业(PCI)的数据。根据普遍接受的行业标准,不敏感的数据类型,如PCI数据,必须从处理其他的网络区域分割出来。外部渗透测试允许企业决定如何严格遵守这些标准。
渗透测试是怎么做的?
如果一个公司选择将敏感数据迁移到云,通常选择将数据卸载到远程数据中心。如果公司对数据中心如何适应其安全标准感到好奇,外部渗透测试则需要由第三方如VerSprite完成。
完成商定的测试范围之后,许多渗透测试服务提供商通过黑盒子方法开始测试。这意味着测试人员在一个相对安全、可靠的环境下对目标进行研究。黑盒子方法使渗透测试人员更好地模拟攻击者惯用的手段。
许多数据中心管理者使用企业级软件,他们可以集中管理数据中心的资产。而且,通过对软件进行配置,数据中心管理人员能够远程管理资产。进而,渗透测试人员可以经常发现数据中心管理者使用公开分配IP地址的接口监督他的资产。测试人员可以通过WhoIs查询数据中心的远程域或一个简单的Google搜索。一旦发现IP地址,渗透测试人员可以使用Nmap端口扫描或其他方法,查看开放端口、操作系统信息、用户代理字符串和其他信息,更深入地挖掘系统中存在的漏洞。
经过渗透测试人员初步研究,他们会检查可能的网络入口点。如果属于深入渗透商定的范围的一部分,测试人员将进一步冒险进入网络搜索管理资产。
从数据中心的角度来看,由于承担着处理大量数据的责任,更应该定期进行外部渗透测试。虽然许多企业可以推卸掉责任,但数据中心可能没有这种待遇。