AliCloud Assessments
การประเมินความปลอดภัย AliCloud และการสอดคล้องกับข้อกำหนดของจีน (CSL, PIPL, MLPS)
Alibaba Cloud เป็นแพลตฟอร์ม Cloud หลักในจีนแผ่นดินใหญ่ และเป็นเป้าหมายการ Deploy ที่พบมากขึ้นในองค์กรระดับภูมิภาคที่ให้บริการตลาดจีนหรือดำเนินงานภายใต้เขตอำนาจของ PRC โมเดลความปลอดภัยของแพลตฟอร์ม เช่น RAM Identity, RDS, OSS และ VPC มีรูปแบบเฉพาะที่ผู้ทดสอบ Cloud ทั่วไปมักไม่เข้าใจลึกพอ
โครงการ AliCloud ของเราใช้วิธีการทดสอบ Configuration Plus Attack Path แบบเดียวกับที่ใช้กับ AWS, Azure และ GCP โดยปรับให้เหมาะกับบริการเฉพาะของ AliCloud และสภาพแวดล้อมด้านกฎระเบียบที่ Workload บน AliCloud มักต้องดำเนินการภายใต้ เช่น CSL, PIPL และ MLPS
ความเสี่ยงที่ต้องพิจารณา
AliCloud มี Attack Model เฉพาะของตนเอง
วิธีการทดสอบ Cloud แบบทั่วไปมักพลาดพฤติกรรมเฉพาะของ AliCloud, RAM Trust Path และค่าเริ่มต้นเฉพาะของผู้ให้บริการ จึงควรให้ผู้เชี่ยวชาญเฉพาะแพลตฟอร์มเข้ามาครอบคลุมส่วนนี้
Compliance ของ PRC มีรายละเอียดที่ต้องระวัง
Workload ที่ทำงานในจีนแผ่นดินใหญ่ต้องอยู่ภายใต้ข้อกำหนด CSL, PIPL และ MLPS ซึ่งส่งผลต่อวิธีการทดสอบ รวมถึงวิธีจัดการข้อมูลระหว่างโครงการ
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ
ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก
ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน