出于安全考慮，許多企業(yè)將IT服務(wù)的重要部分卸載，應(yīng)用程序和其他數(shù)據(jù)模糊的區(qū)域被稱為云。很多時候，數(shù)據(jù)遷移到云意味著將數(shù)據(jù)遷移到服務(wù)器或一個服務(wù)器集群，保留在遠(yuǎn)程數(shù)據(jù)中心。如果不必將數(shù)據(jù)傳輸?shù)搅硪粋€地方，遠(yuǎn)程卸載數(shù)據(jù)是一種常被推薦的安全操作。

然而，即使將處理數(shù)據(jù)的責(zé)任轉(zhuǎn)移，這些數(shù)據(jù)真的更安全嗎？云用戶如何知道數(shù)據(jù)中心比原來數(shù)據(jù)托管的地方更安全呢？答案就是要及時了解數(shù)據(jù)托管中心是否已經(jīng)完成滲透測試。

外部滲透測試的好處

許多網(wǎng)絡(luò)企業(yè)定期進行滲透測試。這使企業(yè)安全技術(shù)人員獲得全面、最新的系統(tǒng)安全情況。此外，外部滲透測試基礎(chǔ)設(shè)施允許企業(yè)估計符合安全標(biāo)準(zhǔn)。一些企業(yè)有專門的團隊，針對自己的網(wǎng)絡(luò)進行滲透測試。然而，大多數(shù)企業(yè)依靠更專業(yè)的第三方人員進行滲透測試。

一些組織以某種形式接受、處理和儲存支付卡行業(yè)(PCI)的數(shù)據(jù)。根據(jù)普遍接受的行業(yè)標(biāo)準(zhǔn)，不敏感的數(shù)據(jù)類型，如PCI數(shù)據(jù)，必須從處理其他的網(wǎng)絡(luò)區(qū)域分割出來。外部滲透測試允許企業(yè)決定如何嚴(yán)格遵守這些標(biāo)準(zhǔn)。

滲透測試是怎么做的?

如果一個公司選擇將敏感數(shù)據(jù)遷移到云，通常選擇將數(shù)據(jù)卸載到遠(yuǎn)程數(shù)據(jù)中心。如果公司對數(shù)據(jù)中心如何適應(yīng)其安全標(biāo)準(zhǔn)感到好奇，外部滲透測試則需要由第三方如VerSprite完成。

完成商定的測試范圍之后，許多滲透測試服務(wù)提供商通過黑盒子方法開始測試。這意味著測試人員在一個相對安全、可靠的環(huán)境下對目標(biāo)進行研究。黑盒子方法使?jié)B透測試人員更好地模擬攻擊者慣用的手段。

許多數(shù)據(jù)中心管理者使用企業(yè)級軟件，他們可以集中管理數(shù)據(jù)中心的資產(chǎn)。而且，通過對軟件進行配置，數(shù)據(jù)中心管理人員能夠遠(yuǎn)程管理資產(chǎn)。進而，滲透測試人員可以經(jīng)常發(fā)現(xiàn)數(shù)據(jù)中心管理者使用公開分配IP地址的接口監(jiān)督他的資產(chǎn)。測試人員可以通過WhoIs查詢數(shù)據(jù)中心的遠(yuǎn)程域或一個簡單的Google搜索。一旦發(fā)現(xiàn)IP地址，滲透測試人員可以使用Nmap端口掃描或其他方法，查看開放端口、操作系統(tǒng)信息、用戶代理字符串和其他信息，更深入地挖掘系統(tǒng)中存在的漏洞。

經(jīng)過滲透測試人員初步研究，他們會檢查可能的網(wǎng)絡(luò)入口點。如果屬于深入滲透商定的范圍的一部分，測試人員將進一步冒險進入網(wǎng)絡(luò)搜索管理資產(chǎn)。

從數(shù)據(jù)中心的角度來看，由于承擔(dān)著處理大量數(shù)據(jù)的責(zé)任，更應(yīng)該定期進行外部滲透測試。雖然許多企業(yè)可以推卸掉責(zé)任，但數(shù)據(jù)中心可能沒有這種待遇。