云平台的增长使云安全测试了云应用安全评估的一个非常重要的步骤。这些应用程序的安全测试中有一些法律和技术复杂性。云安全评估是对托管应用程序以及平台本身的完整评估。在这封信中,我们谈论我们如何与RSA会议和GDPR的一些亮点一起完成。
2018年RSA会议亮点
我们参加了RSA大会2018,以支持我们在安全领域参展的客户。
RSA 2018是一个鼓舞人心的机会,可以满足其他安全专业人士,彼此学习。会议充满了可行的智能,就如何打击安全漏洞和避免昂贵的信息安全方案,更不用说有关数千名工具,解决方案和技术的信息。
关键的外卖
-
新的攻击技术未覆盖
- 存储库和云存储数据泄露
- 硬件漏洞,如Meltdown和Spectre
- Cryptocoin Mining.
- 大数据分析、去匿名化和相关性
- 在集成电路/ SCADA可利用性
-
即将推出的创新安全产品
gdpr.
这是数据隐私法规多年来最大的发展。GDPR是General Data Protection Regulation(通用数据保护条例)的缩写,现在适用于所有欧盟公民。根据这一新的法规,所有组织都必须保护欧盟公民的个人数据和隐私。
在GDPR下保护的数据
人的姓名,地址,HEATH相关数据,生物识别数据,种族或民族数据,有关任何意见的数据,Web数据等IP地址等。
不合规会花费
客户信任损失、索赔和重罚
云安全验证什么
1
部署模型
防火墙和入侵检测系统必须到位,以确保云环境的安全。
技术:服务器硬化,防火墙,路由器,DNS和邮件服务器测试
2
数据安全
与云模型一样,企业数据存储在其边界之外,验证数据加密和授权等安全检查,以控制数据访问。
技术:XSS、访问控制缺陷、OS/SQL注入缺陷、CSRF、Cookie操作、隐藏字段操作、不安全存储和不安全配置
3.
网络安全
验证网络的安全性,防止MITM攻击,IP欺骗,端口扫描,包嗅等。网络流量必须使用SSL/TLS等技术进行加密。
技术:网络渗透和不安全的SSL信任配置
4
法规遵守
确认遵守ISO,SOX,HIPAA,PCI等的监管和行业标准
5
数据隐私
与在云上一样,数据存储是跨多个企业共享的,因此必须执行确保其他应用程序无法访问应用程序的数据的测试。
技术:加密的数据存储
6
灾难恢复和可用性
如果受到攻击,请检查应用程序是否仍然对客户可用。需要验证多层架构、负载平衡方法、业务连续性和灾难恢复技术。
技术:DOS攻击
7
身份管理[IdM]和登录过程
验证云厂商IdM模型的安全性。
技术:会话管理弱点和身份验证弱点
评估-工具和技术
站得住脚的。io脆弱性管理
Tenable.io漏洞管理是确保云数据安全的解决方案。它是云安全评估的广泛使用的工具。
该工具与微软Azure、Salesforce、Rackspace和AWS兼容,但不支持谷歌云平台。
应用程序和云环境级别的一些关键检查。
应用程序
- 流氓身份验证,未经授权的用户访问
- 未经授权的数据库访问(sql注入)
- HTTP标头注射
- 假加密检查
- 设备信息是否可用(如操作系统等)
- 设备可以被用作恶意活动的主机吗
- 流氓FTP / API访问
- phpmyadmin漏洞
- 流氓饼干使用
云
- 受损的SSL安全-自签名/旧证书,弱密码
- 公共网络安全数据可见性,启用匿名ftp,未使用https, sql注入
- 保护网络受到保护,WRT到路由器,数据包,加密协议
- 各种用户权限是否正常工作
- 确定虚拟机对工作负载的隔离程度
详情请参阅:https://www.tenable.com/products/tenable-io/vulnerability-management.
有建议吗?
我们很乐意听取您的反馈、问题、意见和建议。这将帮助我们使我们更好,更有用的下一次。
分享您的想法和想法knowledgecenter@qasource.com