越来越多的企业将数据和应用程序迁移到云中,云安全的重要性空前,其风险更是空前。面对这些日益复杂的安全风险,评价云环境安全性不能再采用单一的面向云基础设施的安全管控标准,对云环境上运行的系统和应用的渗透测试也成为检验云安全的重要技术手段。
云渗透测试是云环境、系统和服务安全保障的关键。通过渗透测试能够直观识别技术上的安全弱点,同时可以验证系统的健壮性。但是云环境基础设施控制权的转移,使得云渗透测试的范围和边界跟传统渗透测试相比产生了很大的变化。对渗透测试也提出了更高的要求,不仅要基于共享责任模型来确定渗透测试的边界,还要考虑渗透测试的授权与合规问题。企业需要具有云渗透测试专业能力的安全人员,能够在云环境中进行云渗透测试,帮助企业及时发现并修复安全问题,提高云环境的安全性和稳定性,保障云上业务与数据资产的安全。
在这样的现实背景下,云渗透能力对安全人员与渗透测试人员都是亟需补充的能力,云安全联盟大中华区开发了云渗透测试课程,并计划在2023年第六届云安全联盟大中华区大会(CSA GCR Congress)上正式推出云渗透测试认证专家培训与认证计划(Certified Cloud Penetration Test Professional,CCPTP),旨在提供针对云计算渗透测试所需的专业实操技能,弥补云渗透测试技能人才培养的空缺,为专业人员提供技能保证,为用人单位选拔人才作保障。