滲透測(cè)試可以幫助企業(yè)將他們?cè)诠性骗h(huán)境中的漏洞找出來。但是針對(duì)AWS、谷歌和Azure的測(cè)試需求有什么不同呢？

很多企業(yè)IT部門使用云滲透測(cè)試來確定和解決他們?cè)谠朴?jì)算環(huán)境中的潛在安全缺陷。但是，在公有云平臺(tái)上執(zhí)行一項(xiàng)滲透測(cè)試之前，理解你的云供應(yīng)商的唯一測(cè)試需求很重要。

滲透測(cè)試模仿了實(shí)際的攻擊，因此在執(zhí)行之前要和云供應(yīng)商進(jìn)行協(xié)調(diào)。下面是在亞馬遜Web服務(wù)（AWS）、谷歌計(jì)算引擎和微軟Azure上執(zhí)行一項(xiàng)云滲透測(cè)試之前需要知道的一些事情。

對(duì)于AWS，客戶必須在進(jìn)行測(cè)試前提交申請(qǐng)表。這個(gè)審批表收集了一些信息，關(guān)于誰將執(zhí)行測(cè)試、第三方聯(lián)系信息、已掃描的服務(wù)器IP地址以及掃描源和測(cè)試的預(yù)計(jì)時(shí)間和日期。客戶不能在m1.small或者t1.micro實(shí)例上進(jìn)行測(cè)試或者其他的掃描。這是為了避免對(duì)于其他共享相同服務(wù)器的客戶造成負(fù)面影響。

谷歌計(jì)算引擎和應(yīng)用引擎的用戶在執(zhí)行云滲透測(cè)試之前，需要咨詢《服務(wù)條款和可接受使用策略》。谷歌明確聲明這項(xiàng)測(cè)試應(yīng)該只影響測(cè)試者的應(yīng)用，而不是其他用戶或者服務(wù)。谷歌也有一個(gè)漏洞獎(jiǎng)勵(lì)項(xiàng)目來獎(jiǎng)勵(lì)發(fā)現(xiàn)了谷歌應(yīng)用或者服務(wù)漏洞的安全搜查員和專家；然而，并不適用于第三方應(yīng)用。

微軟有一套正規(guī)的程序來批準(zhǔn)云滲透測(cè)試請(qǐng)求。云供應(yīng)商要求客戶至少在滲透測(cè)試前七天提交請(qǐng)求。如果你發(fā)現(xiàn)了一項(xiàng)Azure的潛在漏洞，應(yīng)該報(bào)告給微軟。微軟對(duì)于三種常見的漏洞提供加快審批：OWASP top 10 Web測(cè)試、模糊測(cè)試端點(diǎn)以及端口掃描。微軟不允許拒絕服務(wù)測(cè)試。

云滲透測(cè)試在云計(jì)算適當(dāng)?shù)念I(lǐng)域是一個(gè)有用的工具。共享的云安全模型引入了一些額外的協(xié)調(diào)挑戰(zhàn)，但是值得嘗試。