云滲透測(cè)試指南

1、GREATER CHINA REGION j Ili nce 目錄 HYPERLINK l _TOC_250014 前言 6 HYPERLINK l _TOC_250013 本文范圍 7 HYPERLINK l _TOC_250012 云滲透測(cè)試范圍 7 HYPERLINK l _TOC_250011 上下文中的云滲透測(cè)試 10 HYPERLINK l _TOC_250010 云滲透測(cè)試的目標(biāo) 11 HYPERLINK l _TOC_250009 云滲透測(cè)試用例和關(guān)注點(diǎn) 12 HYPERLINK l _TOC_250008 準(zhǔn)備工作 12 HYPERLINK l _TOC_250007 威脅模

2、型 13 HYPERLINK l _TOC_250006 偵察和研究 13 HYPERLINK l _TOC_250005 4.測(cè)試 15 HYPERLINK l _TOC_250004 5.報(bào)告 20 HYPERLINK l _TOC_250003 法規(guī) 20 HYPERLINK l _TOC_250002 培訓(xùn)和資源 21 HYPERLINK l _TOC_250001 結(jié)論 22 HYPERLINK l _TOC_250000 參考 23前言安全測(cè)試是云環(huán)境、系統(tǒng)和服務(wù)實(shí)現(xiàn)安全保障的關(guān)鍵。在本文中，我們探討在云環(huán)境滲透測(cè)試中最具主導(dǎo)性的安全測(cè)試模式。根據(jù)NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院

3、）的定義，滲透測(cè)試是針對(duì)信息系統(tǒng)或獨(dú)立系統(tǒng)模塊執(zhí)行專業(yè)性的技術(shù)評(píng)估，識(shí)別可能被對(duì)手利用的漏洞。這些測(cè)試能被用于識(shí)別漏洞或用于在一系列約束條件下，決定企業(yè)信息系統(tǒng)投入對(duì)抗的程度（如時(shí)間、資源和技能）1，ENISA（歐洲網(wǎng)絡(luò)及信息安全局）針對(duì)滲透測(cè)試的定義與NIST2類似。傳統(tǒng)上，滲透測(cè)試的主要目標(biāo)是識(shí)別技術(shù)上的安全弱點(diǎn)和系統(tǒng)健壯性。然而，安全測(cè)試更廣泛地應(yīng)用在評(píng)估企業(yè)的安全策略實(shí)現(xiàn)、合規(guī)要求的落實(shí)，員工安全意識(shí)的有效性，以及對(duì)安全事件的識(shí)別與響應(yīng)能力。3因此，滲透測(cè)試對(duì)于任何全面的網(wǎng)絡(luò)防御都是必選項(xiàng)，為系統(tǒng)安全提供可見性，并為系統(tǒng)和相關(guān)環(huán)境的安全提供高度可操作的緩解措施。隨著云服務(wù)持續(xù)在新技術(shù)領(lǐng)

4、域的應(yīng)用，大量商業(yè)組織大量將云作為基礎(chǔ)設(shè)施。因此需要將滲透測(cè)試的范圍擴(kuò)展到公有云。本文旨在為公有云滲透測(cè)試提供基礎(chǔ)方法論，以及設(shè)計(jì)適用于公有云環(huán)境和服務(wù)的當(dāng)前和未來技術(shù)的測(cè)試方法。此外，本文聚焦于對(duì)在云環(huán)境運(yùn)行的應(yīng)用和服務(wù)執(zhí)行滲透測(cè)試，彌補(bǔ)了對(duì)公有云環(huán)境內(nèi)的信息系統(tǒng)和應(yīng)用程序進(jìn)行安全測(cè)試的方法與認(rèn)知差距。目標(biāo)受眾本文目標(biāo)受眾是滲透測(cè)試人員、云或基于云系統(tǒng)的安全從業(yè)人員。不過最初幾頁(yè)主要面向CIO、 CISO和高級(jí)管理人員，幫助他們理解云端滲透測(cè)試的定義、范圍、上下文、目標(biāo)，以及如何在網(wǎng)絡(luò)安全戰(zhàn)略中落實(shí)。此外本文對(duì)開發(fā)人員和架構(gòu)師設(shè)計(jì)云中系統(tǒng)的安全性也會(huì)有幫助。本文目標(biāo)：提升讀者對(duì)云滲透測(cè)試在網(wǎng)

5、絡(luò)安全戰(zhàn)略中的重要性和云滲透測(cè)試方法的認(rèn)識(shí)為讀者介紹云滲透測(cè)試的原則和注意事項(xiàng)為滲透測(cè)試人員在公有云環(huán)境中更好地交付詳盡全面的安全測(cè)試提供指導(dǎo)1 /800-53/Rev4/control/CA-8#Rev4Statements2 https:/ HYPERLINK http:/www.enisa.europa.eu/topics/csirts-in-europe/glossary/vulnerabilities-and-exploits www.enisa.europa.eu/topics/csirts-in-europe/glossary/vulnerabilities-and-exploi

6、ts3 https:/ HYPERLINK /assets/resources/documents/CSP_Penetration_Test_Guidance.pdf /assets/resources/documents/CSP_Penetration_Test_Guidance.pdf本文范圍本文聚焦公有云環(huán)境上系統(tǒng)和服務(wù)的安全測(cè)試，即由云客戶管理控制的系統(tǒng)與服務(wù)。例如，IaaS環(huán)境中云客戶所管理與控制的虛擬主機(jī)就屬于本文探討范圍，然而由云服務(wù)提供商控制的虛擬化管理程序（hypervisor）則不在本文范圍內(nèi)。另外對(duì)于混合云測(cè)試場(chǎng)景，混合接口和本地環(huán)境（內(nèi)部部署，又叫遺留基礎(chǔ)設(shè)施）也不在本

7、文范圍內(nèi)。本文涉及的云滲透測(cè)試方法與以下內(nèi)容是互補(bǔ)的主題范圍- 對(duì)如何測(cè)試云端應(yīng)用和系統(tǒng)的部署/實(shí)現(xiàn)有指導(dǎo)，但不涉及應(yīng)用程序本 身的安全測(cè)試。那是OWASP（開放Web應(yīng)用程序安全項(xiàng)目）所覆蓋的。現(xiàn)有測(cè)試和保障框架- 雖然其中概述了測(cè)試程序和交付階段，以及一些并非云獨(dú)有 的測(cè)試用例，但這純粹是為了上下文和盡職調(diào)查而做的，并不全面。云特有的測(cè)試用例和注意事項(xiàng)是對(duì)現(xiàn)有安全測(cè)試框架的有力補(bǔ)充，這樣更簡(jiǎn)單也更方便與現(xiàn)有測(cè)試框架集成。本文還提供關(guān)于公有云安全測(cè)試、培訓(xùn)機(jī)會(huì)和資源的范圍界定，以及法律方面的思考與見解。云滲透測(cè)試范圍基于云的系統(tǒng)、環(huán)境和服務(wù)的安全測(cè)試對(duì)于公有云來說是微妙且獨(dú)特的。共享責(zé)任模型

8、的測(cè)試范圍由云服務(wù)提供商（CSP）全權(quán)負(fù)責(zé)的安全控制措施通常不在云用戶委托的滲透測(cè)試范圍內(nèi)。例如，在軟件即服務(wù)（SaaS）環(huán)境中，滲透測(cè)試人員被授權(quán)允許用特定用戶的權(quán)限發(fā)起業(yè)務(wù)級(jí)攻擊（即批準(zhǔn)測(cè)試）。然而，測(cè)試人員不應(yīng)在SaaS應(yīng)用程序中測(cè)試訪問控制（會(huì)話校驗(yàn)）或SaaS應(yīng)用程序的輸入過濾（即SQL注入）。這是因?yàn)闇y(cè)試會(huì)涉及破壞底層基礎(chǔ)設(shè)施，超出了滲透測(cè)試人員所獲得的權(quán)限范圍。因此，除非獲得CSP的明確許可，底層基礎(chǔ)設(shè)施通常不在滲透測(cè)試的范圍內(nèi)。云滲透測(cè)試不會(huì)挑戰(zhàn)，而是考慮并利用底層技術(shù)的設(shè)計(jì)和代碼完整性。例如：在云服務(wù)、技術(shù)和服務(wù)提供中利用缺陷、常見錯(cuò)誤配置和已知漏洞，屬于基于云應(yīng)用/資產(chǎn)測(cè)試

9、的范圍之內(nèi)，但是針對(duì)云服務(wù)的取證、逆向工程和研究則不是。共享責(zé)任模型云滲透測(cè)試測(cè)的是云消費(fèi)者權(quán)限范圍內(nèi)的安全性，而不是云本身的安全性。例如，在 IaaS環(huán)境中，如圖1所示，用戶訪問/身份、數(shù)據(jù)、應(yīng)用程序和操作系統(tǒng)層都在范圍內(nèi)。而紅線以下的所有其他組件，均由CSP控制和管理，因此不在范圍內(nèi)。同樣的邏輯也適用于 PaaS和SaaS環(huán)境的滲透測(cè)試范圍，取決于云服務(wù)模型。測(cè)試的程度和范圍取決于云服務(wù)提供商提供的各種服務(wù)。盡管如此，云服務(wù)中意外發(fā)現(xiàn)的任何缺陷和漏洞也應(yīng)給予通報(bào)。IaaS （基礎(chǔ)設(shè)施即服務(wù)）PaaS （平臺(tái)即服務(wù)）SaaS （軟件即服務(wù)）用戶身份/權(quán)限用戶身份/權(quán)限用戶身份/權(quán)限數(shù)據(jù)數(shù)據(jù)數(shù)

10、據(jù)應(yīng)用操作系統(tǒng)應(yīng)用操作系統(tǒng)應(yīng)用操作系統(tǒng)虛擬化虛擬化虛擬化網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施物理環(huán)境物理環(huán)境物理環(huán)境藍(lán)色 云用戶/消費(fèi)者安全責(zé)任灰色 云服務(wù)提供商安全責(zé)任圖1. 共享安全責(zé)任模型安全測(cè)試的范圍和測(cè)試用例也因不同服務(wù)模型而異（圖1）。在SaaS應(yīng)用程序中范圍較?。簝H包括數(shù)據(jù)和用戶訪問/身份控制。在PaaS模式中，應(yīng)用層（和一些平臺(tái)配置）囊括在安全測(cè)試范圍之內(nèi)，所有較低的層都被排除在外。同樣的原則也適用于IaaS，隨著客戶的責(zé)任邊界擴(kuò)大，潛在安全測(cè)試范圍也會(huì)隨之?dāng)U大。實(shí)施或移動(dòng)工作負(fù)載都可能會(huì)改變潛在安全測(cè)試（和漏洞）的范圍。會(huì)引入額外的測(cè)試范圍（例如，云管理平面），但一些測(cè)試仍然

11、由CSP負(fù)責(zé)（如虛擬化、硬件，有時(shí)還有操作系統(tǒng)）。如果云客戶從云服務(wù)提供商獲得授權(quán)，在云服務(wù)提供商的控制和管理下測(cè)試云組件，那么云測(cè)試服務(wù)邊界的劃分將會(huì)變得更加復(fù)雜和模糊。公有云滲透測(cè)試范圍雖然客戶端應(yīng)用程序在IaaS和PaaS環(huán)境的測(cè)試范圍內(nèi)，但本文并未詳細(xì)介紹應(yīng)用層（如SQL注入、XSS）和操作系統(tǒng)層（如虛擬機(jī)）測(cè)試方法，因?yàn)檫@些在OWASP和其他資料中均有詳細(xì)介紹。因此，本文僅涉及以下方面：與用戶身份和權(quán)限相關(guān)的賬戶安全（如身份認(rèn)證和鑒權(quán)、日志、賬號(hào)加固、云身份聯(lián)合和單點(diǎn)登錄界面等）與云租戶可以配置的數(shù)據(jù)結(jié)構(gòu)和云基礎(chǔ)設(shè)施相關(guān)的云安全性（如S3存儲(chǔ)桶策略、VPC網(wǎng)絡(luò)訪問控制、Cloud F

12、ormation風(fēng)險(xiǎn)模板等）受終端用戶控制的應(yīng)用程序/業(yè)務(wù)邏輯安全（如應(yīng)用程序設(shè)計(jì)缺陷、業(yè)務(wù)邏輯缺陷、代碼腳本缺陷、數(shù)據(jù)泄露防護(hù)等）應(yīng)用程序、數(shù)據(jù)、業(yè)務(wù)邏輯應(yīng)用程序設(shè)計(jì)缺陷業(yè)務(wù)邏輯缺陷數(shù)據(jù)泄露防護(hù)服務(wù)VPC配置安全組S3存儲(chǔ)桶策略EC2開通和IAM接口訪問 cloud formation風(fēng)險(xiǎn)模板賬號(hào)IAM加固組織治理跨賬戶/子賬戶信任列表即使其中任何一個(gè)被排除在滲透測(cè)試范圍之外，滲透測(cè)試的范圍也可以并且應(yīng)該考慮這三個(gè)方面，因?yàn)檫@三個(gè)方面是互相影響的。例如：錯(cuò)誤配置的用戶賬戶（忽略了賬戶級(jí)的授權(quán)及訪問控制機(jī)制）可能并將最終提高應(yīng)用程序出現(xiàn)漏洞的可能性和漏洞的嚴(yán)重性AWS中的應(yīng)用程序可能設(shè)計(jì)、應(yīng)用

13、或配置不當(dāng)，導(dǎo)致其具備較高的云權(quán)限（例如擁有管理員權(quán)限），這被視為最高威脅。忽視了賬戶級(jí)別的額度管控和預(yù)算控制可能會(huì)導(dǎo)致拒絕服務(wù)、資源不足或過度消費(fèi)上下文中的云滲透測(cè)試滲透測(cè)試，也稱動(dòng)態(tài)測(cè)試，通常在代碼開發(fā)和部署后運(yùn)行，即便不在生產(chǎn)環(huán)境中。重要的是要記住，滲透測(cè)試不一定是最好或最有效的測(cè)試形式，它的適用性取決于需求背景和目的。例如，當(dāng)評(píng)估對(duì)象是部署在云環(huán)境中的活躍產(chǎn)品或功能時(shí)，建議采用本文所述的方法測(cè)試，但若只是為了評(píng)估某一個(gè)剛剛被設(shè)計(jì)的功能，威脅建模是最佳選擇。在微軟定義的安全開發(fā)生命周期中，安全測(cè)試工作處于驗(yàn)證階段，包括動(dòng)態(tài)測(cè)試和威脅模型/攻擊面驗(yàn)證。保障計(jì)劃保障計(jì)劃C 后續(xù)行動(dòng)測(cè)試B滲透

14、測(cè)試計(jì)劃A 準(zhǔn)備滲透測(cè)試也可以（并且經(jīng)常）成為安全計(jì)劃的一部分， CREST 一直在倡導(dǎo)他們的測(cè)試計(jì)劃。 2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有10CREST的計(jì)劃旨在幫助組織有效管理正在執(zhí)行或交付的滲透測(cè)試，概述了將滲透測(cè)試的價(jià)值最大化的步驟以及最佳實(shí)踐，因此看起來似乎存在一些“重復(fù)的范圍”，但必須指出的是，滲透測(cè)試服務(wù)接收者的“準(zhǔn)備期”是有別于滲透測(cè)試提供者（即提供滲透測(cè)試服務(wù)的廠商）的“準(zhǔn)備期”的。本文中描述的方法是從安全服務(wù)提供商的角度寫的，這種角度符合并滿足一些“客戶/接收者”的需求，例如在測(cè)試階段，特別是“使用有效的測(cè)試方法”的需求?！昂罄m(xù)行動(dòng)”階段為滲透測(cè)試的接收者提供了指導(dǎo)，指導(dǎo)

15、他們根據(jù)交付的成果采取行動(dòng)，以及評(píng)估滲透測(cè)試的有效性，這不在本文檔描述的范圍內(nèi)。另外，如果云環(huán)境/系統(tǒng)在范圍內(nèi)，那么本指南會(huì)做出說明，非云范圍的還是需要各自的方法和參考。云滲透測(cè)試指南改編自CREST測(cè)試方案的準(zhǔn)備（第3部分）和測(cè)試（第4部分）兩個(gè)章節(jié)，并提出了5個(gè)主要階段：準(zhǔn)備、威脅建模、偵察和研究、測(cè)試以及報(bào)告撰寫。本文檔詳細(xì)介紹了每個(gè)階段中獨(dú)特的云安全測(cè)試用例和注意事項(xiàng)。云滲透測(cè)試的目標(biāo)滲透測(cè)試的目的是識(shí)別代碼漏洞、配置漏洞以及其他不安全的實(shí)現(xiàn)，并給出有效的緩解建議。請(qǐng)務(wù)必記住，以下測(cè)試用例僅僅考慮獨(dú)特的、云場(chǎng)景下的測(cè)試用例和缺陷。云只是承載了許多不同功能和用途（例如工作負(fù)載、存儲(chǔ)或容器

16、）的畫布，滲透測(cè)試的結(jié)果因云上部署的業(yè)務(wù)而異，正常來說，這些組件需要參考自己的測(cè)試指南。我們選擇模型是STRIDE，它是微軟為識(shí)別計(jì)算機(jī)威脅而開發(fā)的威脅模型，通過探索可能出現(xiàn)的錯(cuò)誤指導(dǎo)攻防工作。我們通過STRIDE模型對(duì)建議的測(cè)試用例分組，因?yàn)樗男g(shù)語和格式已經(jīng)被廣泛認(rèn)識(shí)和使用。欺騙 - 冒充、偽裝或以其他方式偽造自己的身份或特征。在云滲透中，身份欺騙通常采用竊取云環(huán)境登錄憑據(jù)的的方式去利用該賬號(hào)的權(quán)限。篡改 - 破壞、修改或偽造記錄、進(jìn)程或產(chǎn)品，達(dá)到惡意的目的或?yàn)楣粽叩钠渌繕?biāo)或攻擊鏈服務(wù)。在云測(cè)試中，篡改通常采取修改日志記錄、修改主機(jī)鏡像、篡改API、數(shù)據(jù)庫(kù)或數(shù)據(jù)的形式。抵賴 - 造成對(duì)

17、日志或數(shù)據(jù)的真實(shí)性存在爭(zhēng)議、缺乏或損害的情況。云測(cè)試中的抵賴通常采用刪除或關(guān)閉日志記錄的方式，或利用云服務(wù)和機(jī)制來掩蓋某個(gè)行為或事件。信息泄漏 - 隱私侵犯或向未經(jīng)授權(quán)的對(duì)象或公眾泄露信息。在云測(cè)試中，信息通常從錯(cuò)誤配置的公有云存儲(chǔ)中泄露。拒絕服務(wù) - 使目標(biāo)用戶無法使用系統(tǒng)、功能或資源的行為。在云測(cè)試中，拒絕服務(wù)通常采取破壞或加密云資源、禁用賬戶、憑據(jù)或用戶的形式出現(xiàn)。權(quán)限提升 - 利用漏洞或配置實(shí)現(xiàn)超出預(yù)期的訪問權(quán)限或特權(quán)提升的行為。在云測(cè)試中，權(quán)限提升通常采取利用錯(cuò)誤配置的IAM權(quán)限的形式，這些權(quán)限允許升級(jí)，或允許使用受損服務(wù)或目標(biāo)系統(tǒng)。云滲透測(cè)試用例和關(guān)注點(diǎn)黑色的項(xiàng)目是已經(jīng)包含在標(biāo)準(zhǔn)滲

18、透測(cè)試任務(wù)和框架中的傳統(tǒng)項(xiàng)目。藍(lán)色的項(xiàng)目與云環(huán)境相關(guān)，應(yīng)該考慮予以測(cè)試。通常情況括號(hào)里的內(nèi)容是示例或參考。準(zhǔn)備工作a.與用戶簽訂保密責(zé)任和測(cè)試協(xié)議 b.定義并同意滲透測(cè)試的目的和范圍確定測(cè)試限制條件確定作用范圍內(nèi)的目標(biāo)和環(huán)境 1.云賬戶是否在范圍內(nèi)?云供應(yīng)鏈服務(wù)和合作伙伴是否在范圍內(nèi)？在范圍內(nèi)是否考慮了不同的租戶?他們被排除在外了嗎? 他們目標(biāo)明確嗎？什么被認(rèn)為是獨(dú)立租戶？是否考慮獲得CSP 測(cè)試的批準(zhǔn)/限制？了解對(duì)公有云的攻擊量和風(fēng)險(xiǎn)的詳細(xì)評(píng)估依據(jù)適當(dāng)?shù)模ㄍǔＪ枪_的）安全測(cè)試過程，對(duì)每個(gè)云服務(wù)提供商和用戶進(jìn)行云滲透測(cè)試提供、接收需求規(guī)范考慮云合規(guī)、指導(dǎo)和框架（例如 CSA CCM）制定、同

19、意并簽署滲透測(cè)試工具、策略和程序（TTP），以及方法論 i.非云TTP，如OWASP 應(yīng)用程序測(cè)試指南云偵察，網(wǎng)絡(luò)釣魚，賬號(hào)劫持/密碼重置TTP用于識(shí)別漏洞利用的云審計(jì)最佳工具 Azurite, ScoutSuite用于欺騙、篡改、拒絕、信息泄露、拒絕服務(wù)和提高特權(quán)的可接受的和最低限度的測(cè)試用例對(duì)目標(biāo)、結(jié)構(gòu)和證據(jù)采取行動(dòng)，以證明測(cè)試成功并達(dá)到目標(biāo) vi.實(shí)施管理控制和操作流程指定聯(lián)絡(luò)點(diǎn)提交和管理變更請(qǐng)求 ix.解決測(cè)試操作問題x.隔離、限制和解決測(cè)試對(duì)系統(tǒng)的影響威脅模型將用戶的關(guān)注點(diǎn)、目的和各種規(guī)范都包含在威脅模型中 b.在范圍內(nèi)執(zhí)行威脅模型通盤考量特定云服務(wù)提供商，部署和使用威脅模型考慮云威

20、脅（最大威脅）的行業(yè)標(biāo)準(zhǔn)/云威脅最佳實(shí)踐 1.12項(xiàng)云計(jì)算安全威脅，網(wǎng)絡(luò)攻擊樹偵察和研究進(jìn)行標(biāo)準(zhǔn)偵察（記錄、網(wǎng)站、網(wǎng)絡(luò)、IP 指紋、犯罪記錄、人、社交媒體）利用DNS 記錄（N, MX, NS, SPF, TXT, CName, A）確定目標(biāo)域或企業(yè)中可能的管理不當(dāng)或被劫持的云提供商和服務(wù)通過谷歌接口和DNS記錄的adfs, auth, fs, okta, ping, sso, sts, oauth, openID, saml, ws，對(duì)技術(shù)和服務(wù)提供商等身份聯(lián)合服務(wù)器偵察在代碼和文本存儲(chǔ)庫(kù)中查找云憑證（如API密鑰、聯(lián)合身份服務(wù)私有證書和存儲(chǔ)賬戶密鑰/sas、亞馬遜公開設(shè)置文件證書）從受損的

21、憑證轉(zhuǎn)儲(chǔ)中或通過OSINT，收集和窮舉云用戶和管理憑據(jù) v.通過領(lǐng)英、公司網(wǎng)站識(shí)別云管理、運(yùn)營(yíng)、用戶和供應(yīng)鏈人員目標(biāo)通過證書透明日志和DNS記錄（company ）識(shí)別云服務(wù)、資產(chǎn)和域名服務(wù)器記錄識(shí)別范圍和相關(guān)的云存儲(chǔ)實(shí)例、賬戶和服務(wù)查找云賬戶和系統(tǒng)的介紹、設(shè)置和配置文件（例如亞馬遜公開設(shè)置文件， app.config or aws/azure .config files）通過服務(wù)API調(diào)用枚舉賬戶、用戶和/或角色（通過服務(wù)API 調(diào)用枚舉賬戶、用戶和/或角色（例如使用賬戶內(nèi)已知或公共資源標(biāo)識(shí)符的AWS 枚舉，或盲目地使用UpdateAssumeRolePolicy）進(jìn)行漏洞利用環(huán)境/賬戶偵察

22、，以確定賬戶id、別名、賬戶組織結(jié)構(gòu)和云模型、受損用戶IAM、以及其他用戶識(shí)別不同的云模型賬號(hào)（例如亞馬遜公有云與政務(wù)云），不同的賬號(hào)類型（如 Azure ARM、Azure ASM賬戶、Azure存儲(chǔ)賬戶）分析移動(dòng)應(yīng)用程序和本地應(yīng)用程序的云服務(wù)/賬戶秘密、用戶、角色、資源名稱（arn、AWS密鑰、Azure存儲(chǔ)賬戶名稱、AWS存儲(chǔ)桶名稱）偵察開發(fā)后環(huán)境、賬戶，確定高價(jià)值系統(tǒng)、資產(chǎn)和用戶 b.研究已識(shí)別的資產(chǎn)偵察 1.已知漏洞常見錯(cuò)誤配置開發(fā)工具和方法審查云技術(shù)和云服務(wù)提供商的安全公告；它們可能會(huì)產(chǎn)生未修補(bǔ)損害向量（AWS Bulletin）將偵察結(jié)果納入威脅模型測(cè)試驗(yàn)證基線安全需求采用與控制

23、域和技術(shù)相關(guān)的安全測(cè)試用例、指南和清單web？移動(dòng)端？本地？服務(wù)器端？API？c# mvc? objective c IOS? Python redhat? c+ winforms用戶身份和其他實(shí)體的欺騙測(cè)試竊取硬編碼的無服務(wù)器工作負(fù)載函數(shù)（作為函數(shù)實(shí)現(xiàn)的工作負(fù)載）憑據(jù)和秘密（比如硬編碼的Azure函數(shù)代碼，或者拉取lambda部署包）通過云服務(wù)配置或負(fù)載均衡器實(shí)例嘗試負(fù)載均衡MiTM漏洞會(huì)話劫持（elb彈性負(fù)載均衡）嘗試把域名轉(zhuǎn)移到另一個(gè)禁止轉(zhuǎn)讓域名的注冊(cè)商（Route53，又名域名劫持）竊取環(huán)境變量和本地文件憑據(jù)，以利用和模擬用戶標(biāo)識(shí)（例如AWS、實(shí)例元數(shù)據(jù)、 shell變量、azure

24、ServiceBusExplorer.exe實(shí)用工具、配置文件、ecs任務(wù)定義或azure ARM配置令牌）從代理或http轉(zhuǎn)發(fā)服務(wù)器的元數(shù)據(jù)中竊取憑據(jù)（AWS元數(shù)據(jù)中的證書）竊取云工作負(fù)載憑證（AWS元數(shù)據(jù)sts或Azure Linux 代理（waagent）文件夾憑證）在遺留云環(huán)境和服務(wù)中承諾默認(rèn)的特權(quán)服務(wù)和用戶賬戶（比如Azure中以前的ASM共同管理員賬戶或Azure存儲(chǔ)賬戶密鑰）竊取云控制臺(tái)或服務(wù)器證書（比如Azure asm證書）竊取云唯一憑據(jù)（如AWS sts臨時(shí)服務(wù)令牌或azure SAS令牌）通過云密鑰服務(wù)或利用特權(quán)進(jìn)行操作來竊取憑據(jù)（aws 密鑰管理服務(wù), azure 關(guān)鍵

25、庫(kù)）形成針對(duì)云用戶、管理員和供應(yīng)鏈人員及公司的魚叉式網(wǎng)絡(luò)釣魚利用受損或配置錯(cuò)誤的云電子郵件服務(wù)進(jìn)行商業(yè)電子郵件侵害和進(jìn)一步的網(wǎng)絡(luò)釣魚（例如， HYPERLINK mailto:如果SES被配置為允許從發(fā)送郵件 如果SES被配置為允許從發(fā)送郵件，那么SES:*的身份管理權(quán)限可以發(fā)送一個(gè)看起來來自內(nèi)部的SES電子郵件）竊取cookie，秘密，口令，kerberos票據(jù)，身份令牌 d.篡改測(cè)試更改數(shù)據(jù)存儲(chǔ)中的數(shù)據(jù)，防止進(jìn)行欺詐性交易或靜態(tài)網(wǎng)站侵害（s3, rds, redshift）更改無服務(wù)器函數(shù)、邏輯應(yīng)用程序或其他業(yè)務(wù)邏輯，以實(shí)現(xiàn)目標(biāo)或升級(jí)權(quán)限（AWS lambda或Azure logic ap

26、ps）更改計(jì)費(fèi)閾值和警報(bào)（AWS費(fèi)用,篡改自定義閾值和cloud watch警報(bào)）更改應(yīng)用程序、網(wǎng)站或其他代碼完整性，導(dǎo)致資源濫用、持久化、外泄或其他問題（AWS s3靜態(tài)網(wǎng)站或Azure網(wǎng)站）在受信任區(qū)域和/或證書中創(chuàng)建或更改DNS記錄集，以分流流量、創(chuàng)建網(wǎng)絡(luò)釣魚網(wǎng)站，濫用品牌（AWS ACM, AWS Route53, Azure DNS服務(wù)）更改本地sql或mysql數(shù)據(jù)庫(kù)中的數(shù)據(jù) e.抵賴測(cè)試在未啟用日志記錄或禁用全局日志記錄的區(qū)域進(jìn)行操作（如CloudTrail）更改未經(jīng)驗(yàn)證的日志存儲(chǔ)區(qū)中的日志文件或禁用驗(yàn)證（如cloud trail日志驗(yàn)證） iii.禁用網(wǎng)絡(luò)流量分析/日志記錄（V

27、PC flowlogs）禁用云警報(bào)，防止檢測(cè)和響應(yīng)（比如cloud watch警報(bào)、GuardDuty、Security Hub或 Azure安全中心）禁用數(shù)據(jù)存儲(chǔ)訪問日志，以防止檢測(cè)和響應(yīng)（Cloudtrain數(shù)據(jù)訪問，s3訪問日志， redshift用戶活動(dòng)）更改日志的保留情況或損壞日志的完整性（s3生命周期、kms解密、cmk密鑰刪除、角色特權(quán)鎖定）更改本地Windows/Linux系統(tǒng)日志f.信息泄漏測(cè)試（隱私泄露或數(shù)據(jù)泄露）利用錯(cuò)誤配置和默認(rèn)的安全組和訪問列表，將數(shù)據(jù)泄露到任意互聯(lián)網(wǎng)IP地址（vpc acl, instance sgs）嘗試使用服務(wù)端點(diǎn)和mitm進(jìn)行數(shù)據(jù)庫(kù)緩存和內(nèi)存緩

28、存數(shù)據(jù)泄漏（彈性緩存）創(chuàng)建新的大數(shù)據(jù)任務(wù)，處理敏感數(shù)據(jù)并將其輸出到可訪問的數(shù)據(jù)存儲(chǔ)（emr, s3）從具有cli /轉(zhuǎn)儲(chǔ)的可公開訪問的數(shù)據(jù)存儲(chǔ)服務(wù)s3, rds, rds快照, redshif集群, elastic search 域）或私有存儲(chǔ)（s3 aws cli get, dynamodump）中收集數(shù)據(jù)，相應(yīng)地對(duì)它們進(jìn)行配置以進(jìn)行外泄利用云郵件和短信分發(fā)服務(wù)竊取數(shù)據(jù)（ses, sns）訪問配置錯(cuò)誤的消息隊(duì)列，以訪問可能處于隊(duì)列中的敏感數(shù)據(jù)（AWS SQS）竊取和利用虛擬機(jī)元數(shù)據(jù)（例如VPC專有網(wǎng)絡(luò)、子網(wǎng)、賬號(hào)、身份管理角色、角色證書）從代理或http轉(zhuǎn)發(fā)服務(wù)器的元數(shù)據(jù)中竊取元信息（AWS

29、元服務(wù)器中的證書）從存儲(chǔ)賬戶中竊取虛擬機(jī)鏡像和快照；分析它們的敏感數(shù)據(jù)（例如存儲(chǔ)賬戶中 Azure虛機(jī)磁盤快照，公共或?qū)Ｓ械腁WS EBS快照和AMIs）指紋服務(wù)器、應(yīng)用程序版本、框架，檢測(cè)應(yīng)用程序日志中的敏感個(gè)人身份識(shí)別信息嘗試使用MiTM竊取數(shù)據(jù) g.拒絕服務(wù)測(cè)試（DoS）銷毀/加密數(shù)據(jù)存儲(chǔ)中未備份的數(shù)據(jù)，或破壞保護(hù)（s3、rds）通過從云環(huán)境中大量發(fā)送電子郵件或SMS消息，拒絕服務(wù)或服務(wù)器和客戶端的可操作性（AWS sns, ses）破壞云服務(wù)配置、數(shù)據(jù)存儲(chǔ)、賬戶（使用dry- run AWS cli標(biāo)志或證明您有權(quán)限）通過刪除可以訪問KMS密鑰的所有身份識(shí)別用戶或角色，拒絕訪問該密鑰對(duì)

30、應(yīng)用程序執(zhí)行基于容量的拒絕服務(wù)攻擊或應(yīng)用程序拒絕服務(wù)攻擊，按照CSP和用戶政策以及協(xié)議，做到極盡全力的告警h.提權(quán)測(cè)試i.使用更高權(quán)限觸發(fā)云編排自動(dòng)化（例如具有高度特權(quán)角色的云形成堆棧)使用分配/傳遞的服務(wù)或角色運(yùn)行或部署工作負(fù)載，導(dǎo)出這些特權(quán)的實(shí)例憑證（例如ec2傳遞的角色和元憑證）利用策略寫功能更改或創(chuàng)建分配給用戶的不受限制的策略（例如:CreatePolicyVersion）更改用戶或新用戶的默認(rèn)策略，以包含額外的特權(quán)（例如set- default-policy- version）創(chuàng)建或重置屬于高權(quán)限用戶的登錄、訪問密鑰或臨時(shí)憑據(jù) （例如iam:CreateAccessKey, sts

31、or iam:UpdateLoginProfile）將策略添加或更新到有權(quán)訪問的角色、組或資產(chǎn)（例如iam:AttachGroupPolicy, iam:PutUserPolicy, sts:AssumeRole）利用開發(fā)者和替代控制臺(tái)來代表他們執(zhí)行特權(quán)（AWS Glue Console endpoint with pass role, Azure machine learning studio）利用數(shù)據(jù)或代碼管道代表假定的角色執(zhí)行操作（AWS data pipeline ShellCommandActivity, inject python code into a pickle celery

32、 sqs queue）傳遞角色并為虛擬機(jī)分配高實(shí)例特權(quán)，然后可以對(duì)虛擬機(jī)進(jìn)行控制，并將其用于 AWS API調(diào)用（例如create-instance-profile 和iam:passrole）使用描述性特權(quán)竊取應(yīng)用程序或代碼管理憑證（例如Get- AzureWebsite -Name webappname）導(dǎo)出服務(wù)和其他賬戶類型密鑰（例如Azure Get-AzureStorageKey-StorageAccountName “Storage_Account_Name”）向現(xiàn)有角色或組中添加具有更高權(quán)限的用戶、資產(chǎn)或賬戶（利用iam:AddUserToGroup等權(quán)限）進(jìn)程hooking，進(jìn)

33、程注入，windows訪問令牌操縱，利用錯(cuò)誤配置的sudo功能 i.其他測(cè)試用例和目標(biāo) （非微軟威脅模型的橫向移動(dòng)測(cè)試用例）橫向移動(dòng)利用錯(cuò)誤配置的安全組和訪問列表在云中的資產(chǎn)（EC2、RDS和其他）之間橫向移動(dòng)，從一個(gè)賬戶到另一個(gè)賬戶（AWS跨賬戶承擔(dān)角色）在受損機(jī)器上的目標(biāo)網(wǎng)絡(luò)/子網(wǎng)中創(chuàng)建一個(gè)額外的接口/分配和IP地址（比如為AWS ec2分配一個(gè)次要的私有IPv4地址或接口）創(chuàng)建定時(shí)任務(wù)或無服務(wù)器操作，向機(jī)器和用戶添加根證書和ssh私鑰（如AWS lambda）從存儲(chǔ)賬戶竊取虛擬機(jī)鏡像，分析它們的密碼，密鑰和證書來訪問活躍系統(tǒng)（像 azure vm vhd快照從存儲(chǔ)賬戶）通過工作負(fù)載管理服

34、務(wù)權(quán)限（AWS SSM或Azure Agent）獲得對(duì)實(shí)例/ vm的操作系統(tǒng)級(jí)訪問權(quán)限利用本地網(wǎng)絡(luò)系統(tǒng)上的應(yīng)用程序和服務(wù); 利用文件共享、腳本框架（如powershell）、操作系統(tǒng)編排（如WMI）和管理框架（如配置管理器） j.持久性給內(nèi)部資源分配一個(gè)公共IP （AWS cli / console -彈性IP）建立一個(gè)備選的云本地/服務(wù)控制接口（如AWS Glue控制臺(tái)、工作區(qū)或Azure腳本/串行控制臺(tái)）配置賬號(hào)/用戶恢復(fù)的詳細(xì)信息，包括備份聯(lián)系人（如AWS替代聯(lián)系人）編輯自定義機(jī)器鏡像和模板，以包含持久性機(jī)制（如AWS自定義ami中的反向 shell）創(chuàng)建跨云服務(wù)提供商，跨賬戶的持久連通

35、性（例如VPC終端，允許自己賬戶的所有流量進(jìn)入內(nèi)部網(wǎng)絡(luò)，使用安全的賬戶）通過配置好的負(fù)載均衡器發(fā)布內(nèi)部資源（如ssh, rdp或80通過ELB負(fù)載均衡器）使用工作負(fù)載/警報(bào)發(fā)現(xiàn)故障及時(shí)通知，以維護(hù)持久性（AWS lambda函數(shù)， cloudwatch, ec2）具有管理權(quán)限的可調(diào)用函數(shù)和或API，調(diào)用它來獲取API Key/Secret/Token（如AWS lambda & API網(wǎng)關(guān)）使用特權(quán)事件源驅(qū)動(dòng)的工作負(fù)載作為后門、shell或持久化機(jī)制（lambda向安全組添加規(guī)則、向用戶添加密鑰、監(jiān)聽日志、ec2、elb或其他事件以管道shell命令、從 internet上觸發(fā)SQS命令事件）

36、創(chuàng)建系統(tǒng)管理命令或?yàn)E用實(shí)例元數(shù)據(jù)來調(diào)度和觸發(fā)命令和控制（AWS系統(tǒng)管理器，修改EC2 UserData來觸發(fā)一個(gè)反向shell）使用云本地系統(tǒng)管理工具（aws系統(tǒng)管理）執(zhí)行遠(yuǎn)程代碼 xii.為虛擬機(jī)實(shí)現(xiàn)一個(gè)啟動(dòng)腳本（比如Azure啟動(dòng)腳本）向現(xiàn)有用戶和服務(wù)添加憑據(jù)（例如AWS安全憑據(jù)訪問密鑰）創(chuàng)建具有模糊但可升級(jí)特權(quán)的影子管理用戶或角色（如AWS CreatePolicyVersion和 SetDefaultPolicyVersion特權(quán)）創(chuàng)建具有遠(yuǎn)程控制權(quán)限的本地實(shí)例用戶（ssh/rdp）報(bào)告報(bào)告的關(guān)鍵點(diǎn)i.參考行業(yè)標(biāo)準(zhǔn)和云安最佳實(shí)踐/配置（云安全聯(lián)盟CCM，AWS良好架構(gòu)框架） ii.收集

37、和報(bào)告云賬戶、別名、元數(shù)據(jù)、密鑰和amis的證據(jù)后續(xù)工作i.Crest 跟蹤階段事項(xiàng)，如監(jiān)控計(jì)劃的實(shí)施和測(cè)試效果的評(píng)估法規(guī)滲透測(cè)試需要遵守所有適用的地方和國(guó)家法律。在提供任何滲透測(cè)試服務(wù)之前，應(yīng)獲得正式的書面和簽署的客戶授權(quán)。測(cè)試人員和客戶還應(yīng)該考慮任何合法的供應(yīng)鏈要求。屬于測(cè)試范圍的第三方供應(yīng)商和服務(wù)可能有自己的檢測(cè)指南、程序、限制和要求。例如,AWS不再?gòu)?qiáng)制要求頒發(fā)測(cè)試許可。但是，這里仍然有幾個(gè)限制條件?？赡苡绊憵W洲公民個(gè)人身份信息（PII）的測(cè)試必須考慮，任何此類數(shù)據(jù)都必須按照GDPR指南進(jìn)行處理（匿名化、傳輸中的安全處理、違規(guī)報(bào)告）。 這一點(diǎn)可能經(jīng)常被忽視，因?yàn)镚DPR首先要求進(jìn)行此類

38、測(cè)試。培訓(xùn)和資源培訓(xùn)我們推薦研究CSA的云計(jì)算關(guān)鍵領(lǐng)域安全指南。此外，以下資源可能也很有用。實(shí)驗(yàn)室& 資源除了設(shè)置你自己動(dòng)手實(shí)踐或工作經(jīng)驗(yàn)之外，很少有攻防類的云安全實(shí)踐培訓(xùn)機(jī)會(huì)；然而，以下是可取的:FLAWS -通過一系列有關(guān)使用AWS時(shí)常見錯(cuò)誤和“陷阱”的關(guān)卡，以闖關(guān)的方式學(xué)習(xí)CloudGoat Rhino-安全實(shí)驗(yàn)室的“設(shè)計(jì)缺陷”是AWS基礎(chǔ)設(shè)施設(shè)置工具工具有許多用于評(píng)估和測(cè)試云環(huán)境及其內(nèi)部安全性的開放工具可用，主要包括：NCC Groups開源云審計(jì)工具（ScoutSuite等）-一個(gè)多云審計(jì)套件LazyS3 - 枚舉AWS s3 的工具CloudBurst - 一組工具，包括（Azur

39、e）服務(wù)枚舉、數(shù)據(jù)存儲(chǔ)、憑證收集等Nimbusland - 一個(gè)解析云IP地址空間的工具pacu - 一個(gè)AWS 漏洞利用工具包Shodan - 該搜索引擎可以幫助識(shí)別、研究和偵察基于云計(jì)算的公共系統(tǒng)和資產(chǎn)一個(gè)更全面的開放云安全工具可以在ToniBlyx上注冊(cè)。結(jié)論自十幾年前云計(jì)算概念提出以來，云已經(jīng)從一個(gè)受到許多批評(píng)和質(zhì)疑的新技術(shù)范式變成了一種被廣泛接受的信息技術(shù)形式。雖然云計(jì)算的使用已經(jīng)規(guī)范化，但安全最佳實(shí)踐和流程仍然需要不斷更新、開發(fā)和完善，以確保成功。本文為公有云環(huán)境中的系統(tǒng)滲透測(cè)試提供指導(dǎo)。滲透測(cè)試人員將能夠參照本文的測(cè)試目標(biāo)測(cè)試公有云系統(tǒng)和環(huán)境的安全性。本文還討論了法律和其他相關(guān)問題，通過對(duì)關(guān)鍵決策者的培訓(xùn)，使他們了解云滲透測(cè)試的復(fù)雜性。CSA頂級(jí)威脅工作組希望您就這些關(guān)鍵問題提供建議，這將使云滲透測(cè)試更加成熟，也將有利于創(chuàng)造更安全的云計(jì)算環(huán)境。參考https:/ HYPERLINK /wp-content/uploads/CREST-Penet