1、 2022 云安全联盟大中华区版权所有2云安全联盟顶级威胁研究工作组的永久和官方网址是：https:/cloudsecurityalliance.org/working-groups/top-threats/#_overview2022 云 安 全 联 盟 大 中 华 区-保 留 所 有 权 利。本 文 档 英 文 版 本 发 布 在 云 安 全 联 盟 官 网（https:/cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网（http:/www.c-）。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信

2、息获取，不可用作商业用途；（b）本文内容不得篡改;（c）不得对本文进行转发散布;（d）不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。2022 云安全联盟大中华区版权所有3序言序言李克强总理在2022 年政府工作报告中指出 2022 年将强化网络安全、数据安全和个人信息保护，促进数字经济发展，加强数字中国建设整体布局。云计算已经成为企业数字化转型和数字经济发展的重要基础设施。在当下日益复杂的网络环境中，评价公有云环境的安全性不能再采用单一的面向云基础设施的安全管控标准，为了充分识别云环境中的安全弱点和系统健壮性，对公有云上运行

3、的系统和服务的渗透测试也成为保障云安全的重要技术手段。此次发布的云渗透测试指南由 CSA 顶级威胁研究工作组专家编写，对当前全球化形势下针对公有云网络空间安全形势、安全风险的实质及特点，提出了应对的渗透测试方法和策略，并且对其中的要点进行了深入分析和阐述。指南基于公有云场景已经达成广泛共识的共享责任模型，从云客户和云服务提供商两个视角对云渗透测试的范围（或边界）、测试目标、测试用例和关注点、合规性、测试相关培训和资源（如渗透测试工具）等进行了详尽地阐述。可以指导公有云客户系统全面地逐项评估其云应用、云服务的安全性。指南适用于从决策者到一线渗透测试人员的所有安全从业人员，尤其是云安全从业人员。可

4、以让决策者充分理解云渗透测试的复杂性和重要性，同时为渗透测试人员提供了详尽的用例清单。云是数字经济发展的基石，因此云安全在很大程度上将影响数据经济的发展。本指南是第一个云安全领域的渗透测试指南，相信它一定会为云渗透测试的发展起到引领的作用，同时为云安全乃至数字经济安全发展发挥应有的促进和推动作用。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有4致谢致谢云渗透测试指南（Cloud Penetration Testing Playbook）由 CSA 顶级威胁研究工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组中文版翻译专家组（排

5、名不分先后）：组 长：组 长：郭鹏程翻译组：翻译组：侯 俊朱梦婷薛 琨审校组：审校组：郭鹏程姚 凯研究协调员：研究协调员：江瞿天感谢以下单位对本文档的支持与贡献：感谢以下单位对本文档的支持与贡献：深圳市魔方安全科技有限公司网宿科技股份有限公司英文版本编写专家英文版本编写专家主要作者：主要作者：Alexander Getsin贡献者：贡献者：Asaf HechtMichael RozaJon-Michael BrookShlomi OhayonChris FarrisGreg JensenVictor ChinCSA 全球员工：全球员工：Victor Chin特别致谢：特别致谢：CSA顶级威胁研

6、究工作组感谢 CyberInt 在本文档的开发过程中提供的支持。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱：researchc-；国际云安全联盟CSA公众号。2022 云安全联盟大中华区版权所有5目录目录序言.3致谢.4前言.6本文范围.7云渗透测试范围.7上下文中的云渗透测试.10云渗透测试的目标.11云渗透测试用例和关注点.121.准备工作.122.威胁模型.133.侦察和研究.134.测试.155.报告.20法规.20培训和资源.21结论.22参考.23 2022 云安全联盟大中华区版权所有6前言前言安全测试是云环境、系统和服务实现安全保障的