課程介紹
CCPTP由國際權威組織國際云安全聯盟于2023年發布的培訓和認證計劃,該認證課程包含了云滲透測試體系、測試流程、實踐技術、法律法規、滲透測試人員道德規范、滲透測試方法論以及實操技術等內容。通過CCPTP的考試,確保從事云計算安全相關的從業人員對云滲透測試體系架構、法律法規、測試技術以及實踐技術有一個全面的了解和廣泛的認知,幫助云安全專業人員深入了解云上滲透測試工作,以便在客戶授權的前提下合法地評估目標系統的安全狀態,并為解決云安全問題提供幫助。
培訓對象
學員需具備:
云計算、云安全和滲透測試的基礎知識;
適用于云安全滲透測試人員、云安全評估人員、信息安全管理人員和其他對云計算安全有興趣的人員等。
課程收益
1、系統掌握如何開展云計算下的滲透測試工作,在云上授權目標系統中尋找弱點和漏洞,并以合法的方式評估目標系統的安全狀態,同時針對相關的弱點和漏洞要能提供有效的安全改進或加固建議;
2、熟練掌握常見云服務模型(IaaS、PaaS、SaaS)測試方法及主流云平臺在租戶視角的最佳安全實踐、包括但不限于租戶上云的安全架構設計、租戶安全基線配置、安全加固知識,例如合理規劃賬號IAM規劃設計、VPC規劃、安全組設計、鏡像安全、云存儲安全、安全組策略等;
3、熟練掌握針對主流云平臺云租戶視角的滲透測試。基于攻擊面的暴露程度,按照從云上資產發現與信息收集階段開始,依照云上租戶應用層至云底層基礎設施層的層級順序,學習相關的滲透測試方法、測試工具,并具備滲透測試的實操能力;
4、根據滲透測試的情況撰寫專業的云滲透測試報告(報告內容包括但不限于漏洞證明過程、修復或安全加固建議)。
知識概要
-- 云計算概念和體系架構;
-- 云計算整體安全;
-- 滲透測試基礎;
-- 云計算攻擊路徑;
-- 云上資產發現與信息收集;
-- 云租戶業務層滲透測試;
-- 云管理層滲透測試;
-- 云服務層滲透測試;
-- 虛擬化與容器滲透測試;
-- 云基礎設施層滲透測試。
課程大綱
云計算概念和體系架構
云計算定義與云計算的五大基本特征
云計算云服務模型與參考架構:IAAS、PAAS、SAAS以及三者的堆棧關系
云計算部署模型:共有云、私有云、社區云、混合云
云計算整體安全
云安全概念模型:參考架構以及控制框架
云計算架構參與者:云消費者、云提供商、云審計員、云代理以及云服務商
云安全范圍與職責
云安全和DevOps自動化
滲透測試基礎
法律及道德規范解讀
滲透測試通用框架及基礎流程
如何制定滲透測試服務條款與測試范圍確定
云計算攻擊路徑
云計算攻擊路徑全景圖
縱向攻擊路徑
橫向擴展攻擊路徑
云上資產發現與信息收集
云基礎架構組件介紹
云上大規模偵查技術
針對云計算架構中不同參與角色的安全性測試
云租戶業務層滲透測試
云租戶Web應用攻擊面概覽
Owasp Top10 應用程序安全風險滲透測試方法
云管理層滲透測試
云管理層攻擊面概覽
身份與訪問管理滲透測試技術
應用程序編程接口滲透測試技術
云數據加密和解密攻防技術
云上監控、日志審計與防御繞過技術
云服務層滲透測試
不同服務模型核心目標、攻擊面以及攻擊路徑概覽
SAAS滲透測試技術
PAAS滲透測試技術
IAAS滲透測試技術
云原生應用程序中的漏洞
云服務濫用技術
虛擬化與容器滲透測試
虛擬化攻擊面與攻擊路徑
虛擬化計算安全
虛擬化網絡安全
虛擬化存儲安全
Docker與Kubernetes滲透測試方法
云基礎設施層滲透測試
云基礎設施層攻擊面、路徑與核心目標概述
云計算負載滲透測試方法
混合云網絡下的滲透測試技巧
多租戶環境下的網絡分區和隔離滲透測試技術
云存儲滲透測試方法
認證過程
無認證考試
開班信息
暫無開班信息