课程介绍
CCPTP由国际权威组织国际云安全联盟于2023年发布的培训和认证计划,该认证课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。通过CCPTP的考试,确保从事云计算安全相关的从业人员对云渗透测试体系架构、法律法规、测试技术以及实践技术有一个全面的了解和广泛的认知,帮助云安全专业人员深入了解云上渗透测试工作,以便在客户授权的前提下合法地评估目标系统的安全状态,并为解决云安全问题提供帮助。
培训对象
学员需具备:
云计算、云安全和渗透测试的基础知识;
适用于云安全渗透测试人员、云安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等。
课程收益
1、系统掌握如何开展云计算下的渗透测试工作,在云上授权目标系统中寻找弱点和漏洞,并以合法的方式评估目标系统的安全状态,同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议;
2、熟练掌握常见云服务模型(IaaS、PaaS、SaaS)测试方法及主流云平台在租户视角的最佳安全实践、包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识,例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等;
3、熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度,按照从云上资产发现与信息收集阶段开始,依照云上租户应用层至云底层基础设施层的层级顺序,学习相关的渗透测试方法、测试工具,并具备渗透测试的实操能力;
4、根据渗透测试的情况撰写专业的云渗透测试报告(报告内容包括但不限于漏洞证明过程、修复或安全加固建议)。
知识概要
-- 云计算概念和体系架构;
-- 云计算整体安全;
-- 渗透测试基础;
-- 云计算攻击路径;
-- 云上资产发现与信息收集;
-- 云租户业务层渗透测试;
-- 云管理层渗透测试;
-- 云服务层渗透测试;
-- 虚拟化与容器渗透测试;
-- 云基础设施层渗透测试。
课程大纲
云计算概念和体系架构
云计算定义与云计算的五大基本特征
云计算云服务模型与参考架构:IAAS、PAAS、SAAS以及三者的堆栈关系
云计算部署模型:共有云、私有云、社区云、混合云
云计算整体安全
云安全概念模型:参考架构以及控制框架
云计算架构参与者:云消费者、云提供商、云审计员、云代理以及云服务商
云安全范围与职责
云安全和DevOps自动化
渗透测试基础
法律及道德规范解读
渗透测试通用框架及基础流程
如何制定渗透测试服务条款与测试范围确定
云计算攻击路径
云计算攻击路径全景图
纵向攻击路径
横向扩展攻击路径
云上资产发现与信息收集
云基础架构组件介绍
云上大规模侦查技术
针对云计算架构中不同参与角色的安全性测试
云租户业务层渗透测试
云租户Web应用攻击面概览
Owasp Top10 应用程序安全风险渗透测试方法
云管理层渗透测试
云管理层攻击面概览
身份与访问管理渗透测试技术
应用程序编程接口渗透测试技术
云数据加密和解密攻防技术
云上监控、日志审计与防御绕过技术
云服务层渗透测试
不同服务模型核心目标、攻击面以及攻击路径概览
SAAS渗透测试技术
PAAS渗透测试技术
IAAS渗透测试技术
云原生应用程序中的漏洞
云服务滥用技术
虚拟化与容器渗透测试
虚拟化攻击面与攻击路径
虚拟化计算安全
虚拟化网络安全
虚拟化存储安全
Docker与Kubernetes渗透测试方法
云基础设施层渗透测试
云基础设施层攻击面、路径与核心目标概述
云计算负载渗透测试方法
混合云网络下的渗透测试技巧
多租户环境下的网络分区和隔离渗透测试技术
云存储渗透测试方法
认证过程
无认证考试
开班信息
暂无开班信息