Daftar Periksa Pengujian Penetrasi Cloud Computing & Pertimbangan Penting

  • Whatsapp
Daftar Periksa Pengujian Penetrasi Cloud Computing & Pertimbangan Penting
Daftar Periksa Pengujian Penetrasi Cloud Computing Pertimbangan Penting
Daftar Periksa Pengujian Penetrasi Cloud Computing & Pertimbangan Penting

Pengujian Penetrasi Cloud Computing adalah metode untuk memeriksa dan memeriksa sistem Cloud secara aktif dengan mensimulasikan serangan dari kode berbahaya.

Komputasi awan adalah tanggung jawab bersama antara penyedia Cloud dan klien yang memperoleh layanan dari penyedia.

Karena dampak infrastruktur, Pengujian Penetrasi tidak diperbolehkan di SaaS Lingkungan.

Pengujian Penetrasi Cloud diperbolehkan di PaaS, IaaS dengan beberapa koordinasi yang diperlukan.

Pemantauan Keamanan secara berkala harus diterapkan untuk memantau keberadaan ancaman, Risiko, dan Kerentanan.

Kontrak SLA akan memutuskan jenis pentesting apa yang diperbolehkan dan Seberapa sering dapat dilakukan.

Anda juga dapat mengambil yang lengkap Kursus online Pentesting keamanan cloud untuk mempelajari lebih lanjut tentang pengujian penetrasi cloud.

Daftar Periksa Pengujian Penetrasi Cloud Computing yang Penting:

1.Periksa Perjanjian Tingkat Layanan dan pastikan bahwa kebijakan yang tepat telah dicakup antara penyedia layanan Cloud (CSP) dan Klien.

2.Untuk menjaga Tata Kelola & Kepatuhan, periksa tanggung jawab yang tepat antara penyedia layanan Cloud dan pelanggan.

3.Periksa perjanjian tingkat layanan Dokumen dan lacak catatan CSP menentukan peran dan tanggung jawab untuk memelihara sumber daya cloud.

4.Periksa kebijakan penggunaan komputer dan Internet dan pastikan telah diterapkan dengan kebijakan yang tepat.

5.Periksa port dan protokol yang tidak digunakan dan pastikan layanan harus diblokir.

6.check data yang disimpan di server cloud Dienkripsi secara Default.

7.Periksa Two Factor Authentication yang digunakan dan validasi OTP untuk memastikan keamanan jaringan.

8.Periksa sertifikat SSL untuk layanan cloud di URL dan pastikan sertifikat yang dibeli dari Otoritas Sertifikat yang ditolak (COMODO, Entrust, GeoTrust, Symantec, Thawte, dll.)

9. Periksa Komponen titik akses, pusat data, perangkat, menggunakan Kontrol keamanan yang Sesuai.

10.memeriksa kebijakan dan prosedur Pengungkapan data kepada pihak ketiga.

11.Periksa apakah CSP menawarkan kloning dan mesin virtual saat Diperlukan.

12. Periksa validasi input yang tepat untuk aplikasi Cloud untuk menghindari Serangan aplikasi web seperti XSS, CSRF, SQLi, dll.

Baca juga: Daftar Periksa Pengujian Penetrasi Server Web

Serangan Cloud Computing:

Sesi Naik (Pemalsuan Permintaan Lintas Situs)

CSRF adalah serangan yang dirancang untuk membujuk korban agar mengajukan permintaan, yaitu
berbahaya di alam, untuk melakukan beberapa tugas sebagai pengguna.

Serangan Saluran Samping

Jenis serangan ini unik untuk cloud dan berpotensi sangat menghancurkan, tetapi membutuhkan
banyak keterampilan dan ukuran keberuntungan.

Bentuk serangan ini mencoba untuk melanggar kerahasiaan korban secara tidak langsung dengan mengeksploitasi fakta bahwa mereka menggunakan sumber daya bersama di cloud.

Serangan Pembungkus Tanda Tangan

Jenis serangan lain tidak eksklusif untuk lingkungan cloud tetapi tetap saja
metode berbahaya yang membahayakan keamanan aplikasi web.

Pada dasarnya, serangan pembungkus tanda tangan bergantung pada eksploitasi teknik yang digunakan dalam layanan web.

Serangan Lain di Lingkungan Cloud:

  • Pembajakan layanan menggunakan sniffing jaringan
  • Pembajakan sesi menggunakan serangan XSS
  • Serangan Sistem Nama Domain (DNS)
  • Serangan injeksi SQL
  • Serangan Kriptanalisis
  • Denial-of-service (DoS) dan serangan DoS Terdistribusi

Pertimbangan Penting Pengujian Penetrasi Cloud:

1.Melakukan Pemindaian Kerentanan di host yang tersedia di Lingkungan Cloud

2. Tentukan Jenis Cloud apakah itu SaaS atau IaaS atau PaaS.

3.Tentukan jenis pengujian apa yang diizinkan oleh penyedia Layanan Cloud

4.Periksa Koordinasi, penjadwalan dan melakukan tes oleh CSP.

5.Melakukan Pentesing Internal dan Eksternal.

6. Dapatkan persetujuan tertulis untuk melakukan pentesting.

7. Melakukan pengujian web pada aplikasi/layanan web tanpa Firewall dan Reverse Proxy

Baca juga: Daftar Periksa Pengujian Penetrasi Server Web

Rekomendasi Penting untuk Pengujian Penetrasi Cloud:

1.Otentikasi pengguna dengan Nama Pengguna dan Kata Sandi.

2. Amankan kebijakan pengkodean dengan memperhatikan Kebijakan Penyedia Layanan

3Kebijakan Kata Sandi yang Kuat harus Disarankan.

4.Ubah Secara Teratur oleh Organisasi seperti nama akun pengguna, kata sandi yang diberikan oleh Penyedia cloud.

5.Lindungi informasi yang terungkap selama Pengujian Penetrasi.

6. Enkripsi Kata Sandi Disarankan.

7. Gunakan Otentikasi terpusat atau sistem masuk tunggal untuk Aplikasi SaaS.

8.Pastikan Protokol Keamanan mutakhir dan Fleksibel.

Alat Penting

SOASTA CloudTest:

Suite ini dapat mengaktifkan empat jenis pengujian pada satu platform web: pengujian fungsional dan kinerja seluler dan pengujian fungsional dan kinerja berbasis web.

beban badai:

LoadStorm adalah alat pengujian beban untuk aplikasi web dan seluler dan mudah
untuk digunakan dan hemat biaya.

BlazeMeter:

BlazeMeter digunakan untuk kinerja ujung-ke-ujung dan pengujian beban seluler
aplikasi, situs web, dan API.

Berikutnya:

Nexpose adalah pemindai kerentanan yang banyak digunakan yang dapat mendeteksi kerentanan, kesalahan konfigurasi, dan patch yang hilang di berbagai perangkat, firewall, sistem virtual, infrastruktur cloud.

AppThwack:

AppThwack adalah simulator berbasis cloud untuk menguji Android, iOS, dan web
aplikasi pada perangkat yang sebenarnya. Ini kompatibel dengan platform otomatisasi populer seperti
Robotium, Calabash, UI Automation, dan beberapa lainnya.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian Anda juga dapat mengambil Kursus keamanan siber online terbaik untuk terus memperbarui diri Anda.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.