Bulut Bilişim Penetrasyon Testi, kötü amaçlı koddan gelen saldırıyı simüle ederek Bulut sistemini aktif olarak kontrol etme ve inceleme yöntemidir.
Bulut bilişim, hizmeti sağlayıcıdan alan Bulut sağlayıcısı ve müşterisinin ortak sorumluluğudur.
Altyapının etkisi nedeniyle, Penetrasyon Testi SaaS’ta izin verilmez Çevre.
Bulut Sızma Testi PaaS, IaaS’de izin verilir bazı Gerekli koordinasyon ile.
Tehditlerin, Risklerin ve Güvenlik Açıklarının varlığını izlemek için düzenli Güvenlik izlemesi uygulanmalıdır.
SLA sözleşmesi, ne tür sızma testine izin verilmesi gerektiğine ve ne sıklıkta yapılabileceğine karar verecektir.
Ayrıca komple alabilirsiniz Bulut güvenliği Pentesting çevrimiçi kursu bulut sızma testi hakkında daha fazla bilgi edinmek için.
Önemli Bulut Bilişim Penetrasyon Testi Kontrol Listesi:
1.Hizmet Düzeyi Sözleşmesini kontrol edin ve Bulut hizmeti sağlayıcısı (CSP) ile Müşteri arasında uygun politikanın kapsandığından emin olun.
2.Yönetim ve Uyumluluğu sürdürmek için Bulut hizmeti sağlayıcısı ile abone arasındaki uygun sorumluluğu kontrol edin.
3.Hizmet düzeyi anlaşmasını kontrol edin Bulut kaynaklarını korumak için rol ve sorumluluğu belirleyen CSP’nin kaydını belgeleyin ve izleyin.
4.Bilgisayar ve İnternet kullanım politikasını kontrol edin ve uygun politika ile uygulandığından emin olun.
5.Kullanılmayan bağlantı noktalarını ve protokolleri kontrol edin ve hizmetlerin engellendiğinden emin olun.
6.bulut sunucularında depolanan verilerin Varsayılan Olarak Şifreli olup olmadığını kontrol edin.
7.Kullanılan İki Faktörlü Kimlik Doğrulamayı kontrol edin ve ağ güvenliğini sağlamak için OTP’yi doğrulayın.
8.URL’de bulut hizmetleri için SSL sertifikalarını kontrol edin ve reddedilen Sertifika Yetkilisinden (COMODO, Entrust, GeoTrust, Symantec, Thawte vb.) satın alınan sertifikaların olduğundan emin olun.
9. Uygun güvenlik Kontrolünü kullanarak erişim noktasının, veri merkezinin, cihazların Bileşenini kontrol edin.
10.Verileri üçüncü şahıslara ifşa etmek için politika ve prosedürü kontrol edin.
11.Gerektiğinde CSP’nin klonlama ve sanal makineler sunup sunmadığını kontrol edin.
12. XSS, CSRF, SQLi vb. gibi web uygulaması Saldırılarından kaçınmak için Bulut uygulamaları için uygun giriş doğrulamasını kontrol edin.
Ayrıca Okuyun: Web Sunucusu Sızma Testi Kontrol Listesi
Bulut Bilişim Saldırıları:
Oturum Sürüşü (Siteler Arası İstek Sahteciliği)
CSRF, kurbanı bir istek göndermeye ikna etmek için tasarlanmış bir saldırıdır.
doğada kötü niyetli, kullanıcı olarak bazı görevleri yerine getirmek için.
Yan Kanal Saldırıları
Bu tür bir saldırı buluta özgüdür ve potansiyel olarak çok yıkıcıdır, ancak
çok fazla beceri ve bir miktar şans.
Bu saldırı türü, bulutta paylaşılan kaynakları kullanma gerçeğinden yararlanarak kurbanın gizliliğini dolaylı olarak ihlal etmeye çalışır.
İmza Sarma Saldırıları
Başka bir saldırı türü, bir bulut ortamına özel değildir, ancak yine de
bir web uygulamasının güvenliğini tehlikeye atmak için tehlikeli bir yöntem.
Temel olarak, imza sarma saldırısı, web hizmetlerinde kullanılan bir tekniğin kullanılmasına dayanır.
Bulut Ortamındaki Diğer Saldırılar:
- Ağ koklama kullanarak hizmet kaçırma
- XSS saldırılarını kullanarak oturum kaçırma
- Alan Adı Sistemi (DNS) saldırıları
- SQL enjeksiyon saldırıları
- Kriptanaliz saldırıları
- Hizmet reddi (DoS) ve Dağıtılmış DoS saldırıları
Bulut Sızma Testiyle İlgili Önemli Hususlar:
1.Bulut Ortamında mevcut ana bilgisayarda Güvenlik Açığı Taramasının gerçekleştirilmesi
2. Bulut Türünü SaaS veya IaaS veya PaaS olup olmadığını belirleyin.
3.Bulut Hizmeti sağlayıcısı tarafından ne tür testlere izin verildiğini belirleyin
4.Koordinasyonu, programlamayı ve testi CSP tarafından gerçekleştirmeyi kontrol edin.
5.Dahili ve Harici Pentesleme Yapmak.
6. Pentestin gerçekleştirilmesi için Yazılı izinler alın.
7. Güvenlik Duvarı ve Ters Proxy olmadan web uygulamalarında/hizmetlerinde web pentestini gerçekleştirme
Ayrıca Okuyun: Web Sunucusu Sızma Testi Kontrol Listesi
Bulut Sızma Testi için Önemli Öneri:
1.Kullanıcıların kimliklerini Kullanıcı Adı ve Parola ile doğrulayın.
2. Hizmet Sağlayıcılara Yönelik Politikasına dikkat ederek kodlama politikasını güvence altına alın
3.Güçlü Şifre Politikası Tavsiye Edilmelidir.
4.Kullanıcı hesabı adı, bulut Sağlayıcıları tarafından atanan bir parola gibi Kuruluşa Göre Düzenli Olarak Değiştirin.
5.Sızma Testi sırasında açığa çıkan bilgileri koruyun.
6. Parola Şifreleme Önerilir.
7. SaaS Uygulamaları için merkezi Kimlik Doğrulamayı veya çoklu oturum açmayı kullanın.
8.Güvenlik Protokollerinin güncel ve Esnek olduğundan emin olun.
Önemli Araçlar
SOASTA Bulut Testi:
Bu paket, tek bir web platformunda dört tür testi etkinleştirebilir: mobil işlevsellik ve performans testi ve web tabanlı işlevsellik ve performans testi.
Yük Fırtınası:
LoadStorm, web ve mobil uygulamalar için bir yük testi aracıdır ve kullanımı kolaydır.
kullanmak ve uygun maliyetli.
BlazeMetre:
BlazeMeter, mobil cihazların uçtan uca performansı ve yük testi için kullanılır.
uygulamalar, web siteleri ve API’ler.
Nexpose:
Nexpose, çeşitli cihazlarda, güvenlik duvarlarında, sanallaştırılmış sistemlerde ve bulut altyapısında güvenlik açıklarını, yanlış yapılandırmayı ve eksik yamaları tespit edebilen, yaygın olarak kullanılan bir güvenlik açığı tarayıcısıdır.
AppThwack:
AppThwack, Android, iOS ve web’i test etmek için bulut tabanlı bir simülatördür.
gerçek cihazlarda uygulamalar. Gibi popüler otomasyon platformlarıyla uyumludur.
Robotium, Calabash, UI Otomasyonu ve diğerleri.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook ayrıca kendinizi güncel tutmak için En İyi Siber Güvenlik kurslarını çevrimiçi olarak alabilirsiniz.