滲透測試是一項旨在確定息爭決任何黑客大概操作裂痕的IT安詳性法子。就如同傳統數據中心遍及回收這一測試要領一樣，許多企業的IT部分也在他們的民眾云計較情況中利用著這種滲透測試。無論是AWS、谷歌照舊微軟Azure的云計較，這里將先容一些針對民眾云計較擬定滲透測試打算的最佳實踐。

首先，由于滲透測是看上去就仿佛是進攻，那么在執行這樣的測試之前，與云計較供給商舉辦充實的事前相同則長短常重要的。

其次，應確定一份詳細的測試工具清單，詳細包羅處事器、終端、應用措施、網絡處事和耐久性數據存儲。你可以利用諸如Metasploit之類的東西可能諸如Tinfoil安詳這樣的第三方處事供給商所提供的安詳掃描東西來執行滲透測試。但無論利用哪種要領，，你都需要一個包羅待測試組件信息的明晰界說列表。

然后，確定需要執行哪些測試。開放式Web應用措施安詳項目(OWASP)所維護的一份列表中就包羅了Web應用措施的十大安詳裂痕。這是一個很好的起點，我們可以將其視為企業用戶應予以重點存眷測試的最小裂痕薈萃。該列表包羅了注入進攻、間斷會話打點與認證、跨站點劇本措施和安詳性錯誤設置。

請務必確保測試所有的潛在進攻點。你有大概但愿用戶一直利用你所提供的網絡接口，可是進攻者可以直接操作Web處事或數據庫處事器。在你的應用措施倉庫中測試所有面向公家的接入點，個中包羅API函數和應用措施接口。

假如你擁有足夠的時間和資源，那么還應針對無法從互聯網會見的處事舉辦測試。譬喻，你大概需要設置你的數據庫處事器以便于只接管來自于你的應用措施處事器的毗連。有的人大概會認為這個數據庫是無法從Web端舉辦會見的，所以它是受到必然水平掩護的，可是這一點并不必然是正確的。

安詳法子有大概會失效。假如可以或許會見數據庫處事器的應用措施處事器被攻下，那么黑客們就可以將應用措施處事器作為進攻數據庫處事器的主機。所以，在不影響正常成果的環境下，應盡大概多地強化數據庫處事器的安詳法子。憑據縱深防止的做法，實施多種節制法子來掩護數據和系統資源。數據庫處事器的安詳性不該只是依靠一個具有較高安詳性的應用措施處事器。

最后，請記得并不是所有的進攻都是來自于組織外部的。來自內部的進攻有大概可以正當且惡意地會見浩瀚系統。審查日志文件，從而確定是否捕捉足夠的信息以便于對一個實際的進攻做出響應。另外，還應檢討安詳信息和事件打點軟件的成果。應確保憑據預先設計發出警報，以安詳專家可以或許確定警報原因的形式向他們提交安詳數據。