云安全联盟顶级威胁研究工作组的永久和官方网址是： https://cloudsecurityalliance.org/working-groups/top-threats/#_overview @2022 云 安 全 联 盟 大 中 华 区 - 保 留 所 有 权 利 。 本 文 档 英 文 版 本 发 布 在 云 安 全 联 盟 官 网 （https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网（http://www.c-csa.cn）。 您可 在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信 息获取，不可用作商业用途；（b） 本文内容不得篡改; （c）不得对本文进行转发散布; （d）不得删除文中商 标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安 全联盟。 © 2022 云安全联盟大中华区版权所有 2 序言 李克强总理在《2022 年政府工作报告》中指出 2022 年将强化网络安全、数据安全和 个人信息保护，促进数字经济发展，加强数字中国建设整体布局。云计算已经成为企业数 字化转型和数字经济发展的重要基础设施。 在当下日益复杂的网络环境中，评价公有云环境的安全性不能再采用单一的面向云基 础设施的安全管控标准，为了充分识别云环境中的安全弱点和系统健壮性，对公有云上运 行的系统和服务的渗透测试也成为保障云安全的重要技术手段。 此次发布的《云渗透测试指南》由 CSA 顶级威胁研究工作组专家编写，对当前全球化 形势下针对公有云网络空间安全形势、安全风险的实质及特点，提出了应对的渗透测试方 法和策略，并且对其中的要点进行了深入分析和阐述。 指南基于公有云场景已经达成广泛共识的共享责任模型，从云客户和云服务提供商两 个视角对云渗透测试的范围（或边界）、测试目标、测试用例和关注点、合规性、测试相 关培训和资源（如渗透测试工具）等进行了详尽地阐述。可以指导公有云客户系统全面地 逐项评估其云应用、云服务的安全性。指南适用于从决策者到一线渗透测试人员的所有安 全从业人员，尤其是云安全从业人员。可以让决策者充分理解云渗透测试的复杂性和重要 性，同时为渗透测试人员提供了详尽的用例清单。 云是数字经济发展的基石，因此云安全在很大程度上将影响数据经济的发展。本指南 是第一个云安全领域的渗透测试指南，相信它一定会为云渗透测试的发展起到引领的作用， 同时为云安全乃至数字经济安全发展发挥应有的促进和推动作用。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 © 2022 云安全联盟大中华区版权所有 3 致谢 《云渗透测试指南》（Cloud Penetration Testing Playbook）由 CSA 顶级威胁研究工作 组专家编写，CSA 大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组 长：郭鹏程 翻译组：侯 俊 朱梦婷 薛 琨 审校组：郭鹏程 姚 凯 研究协调员：江瞿天 感谢以下单位对本文档的支持与贡献： 深圳市魔方安全科技有限公司 网宿科技股份有限公司 英文版本编写专家 主要作者：Alexander Getsin 贡献者：Asaf Hecht Chris Farris Michael Roza Greg Jensen Jon-Michael Brook Shlomi Ohayon Victor Chin CSA 全球员工：Victor Chin 特别致谢：CSA顶级威胁研究工作组感谢 CyberInt 在本文档的开发过程中提供的支持。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联 系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 © 2022 云安全联盟大中华区版权所有 4 目录 序言 .................................................................................................................. 3 致谢 .................................................................................................................. 4 前言 .................................................................................................................. 6 本文范围 ............................................................................................................ 7 云渗透测试范围 .................................................................................................. 7 上下文中的云渗透测试 .......................................................................................10 云渗透测试的目标 ............................................................................................. 11 云渗透测试用例和关注点 ....................................................................................12 1.准备工作 ............................................................................................12 2.威胁模型 ............................................................................................13 3.侦察和研究 .........................................................................................13 4.测试 .................................................................................................. 15 5.报告 .................................................................................................. 20 法规 ................................................................................................................ 20 培训和资源 .......................................................................................................21 结论 ................................................................................................................ 22 参考 ................................................................................................................ 23 © 2022 云安全联盟大中华区版权所有 5 前言 安全测试是云环境、系统和服务实现安全保障的关键。在本文中，我们探讨在云环境渗透测试 中最具主导性的安全测试模式。 根据NIST（美国国家标准与技术研究院）的定义，渗透测试是针对信息系统或独立系统模块执 行专业性的技术评估，识别可能被对手利用的漏洞。这些测试能被用于识别漏洞或用于在一系列约 束条件下，决定企业信息系统投入对抗的程度（如时间、资源和技能）1，ENISA（欧洲网络及信息 安全局）针对渗透测试的定义与NIST2类似。 传统上，渗透测试的主要目标是识别技术上的安全弱点和系统健壮性。然而，安全测试更广泛 地应用在评估企业的安全策略实现、合规要求的落实，员工安全意识的有效性，以及对安全事件的 识别与响应能力。3因此，渗透测试对于任何全面的网络防御都是必选项，为系统安全提供可见性， 并为系统和相关环境的安全提供高度可操作的缓解措施。 随着云服务持续在新技术领域的应用，大量商业组织大量将云作为基础设施。因此需要将渗透 测试的范围扩展到公有云。 本文旨在为公有云渗透测试提供基础方法论，以及设计适用于公有云环境和服务的当前和未来 技术的测试方法。此外，本文聚焦于对在云环境运行的应用和服务执行渗透测试，弥补了对公有云 环境内的信息系统和应用程序进行安全测试的方法与认知差距。 目标受众 本文目标受众是渗透测试人员、云或基于云系统的安全从业人员。不过最初几页主要面向CIO、 CISO和高级管理人员，帮助他们理解云端渗透测试的定义、范围、上下文、目标，以及如何在网络 安全战略中落实。此外本文对开发人员和架构师设计云中系统的安全性也会有帮助。 本文目标： 1 2 3  提升读者对云渗透测试在网络安全战略中的重要性和云渗透测试方法的认识  为读者介绍云渗透测试的原则和注意事项  为渗透测试人员在公有云环境中更好地交付详尽全面的安全测试提供指导 https://nvd.nist.gov/800-53/Rev4/control/CA-8#Rev4Statements https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/vulnerabilities-and-exploit