内外部测试意味着把整个云基础设施当作一个系统来进行测试。其范围依赖于组织和应用的设置。云系统可以是单个的,也可以是内部的,或者也可以是多系统的,既有内部也有外部的。测试的一项重要考虑是识别云系统的结构以及受测试应用在系统内是如何运作的。测试者需要知道所有的连接点,包括数据连接和传输的细节,或者用来传递信息给应用的数据消息服务。
从测试每一个云的内部功能开始,然后为所有的连接点或额外的云建立测试。注意,知道云的性质以及云是内部的、外部的还是混合的很重要。测试需要被修改为在内部云完全测试数据的安全,并测试该数据是可以被外部访问还是通过消息系统访问。
测试云端应用包括类似用于Web应用测试的渗透和数据测试技术。不同的是系统结构和基础设施有云供应商而不是内部组织管理时测试者获得访问的数量。其主要目标使验证数据和应用在内部使安全的,并测试所有的连接点,因为每一个连接都有可能是未经许可的入口或访问。 跨云系统测试类似于从“外部”测试,但也有不同。跨云系统测试意味着测试公有、私有或混合云应用。大多数云应用的目的都是在应用以及因此也在云系统之间共享数据。再次地,在知道云系统的总体结构、云应用与该系统的交互方式以及共享信息或数据方式时测试最有效。
安全测试跨云和应用进行时,主要的关注点是确定数据是否被不恰当地访问或共享。作为测试者,我希望看看是否可以通过操纵云系统配置及访问或角色安全,或者通过拦截消息或消息队列获得非授权的数据访问。把注意力集中到发现以及测试任何可以被操纵为允许访问进入云系统的集成或连接点上。除了复杂的路径以外,也要测试那些看似更简单或明显的地方,以便验证黑客无法获得对机密数据的访问。
Web应用测试与云应用测试的另一个需要记住的重要差别是,Web应用有边界,而云应用没有。因为有可能是无边界的,所以测试者需要深入全面调查任何连接点或安全边界情况。包括测试网络访问、逻辑错误以及架构性安全问题。安全测试云应用迫使测试者跳出盒子去测试,因为云基础设施在设计上就是开放的。
内容全部来源于网络收集,如有侵权,请联系网站删除!