Cloud Pentesting
... > Vulnerability Assessment / Penetration Testing (VAPT) > Cloud Pentesting
Cloud pentesting
Een cloud penetratietest (of pentest) beoordeelt de sterke en zwakke punten in cloud gebaseerde systemen om het algehele beveiligingsniveau van de cloud te verbeteren. Kwetsbaarheden, risico's en mogelijke lacunes tussen het werkelijke niveau van digitale beveiliging en het veronderstelde, gewenste of vereiste niveau worden blootgelegd.
Cloud computing is tegenwoordig zo wijdverspreid dat we ons vaak niet eens meer realiseren dat we er gebruik van maken. Echter, als gevolg van de gedeelde verantwoordelijkheid van de cloud-klant en de cloud service provider, zijn er nieuwe risico's die moeten worden beoordeeld die te maken hebben met hoe de cloud provider en de klant de diensten hebben geconfigureerd.
Secura biedt gedetailleerde beoordelingen van de configuratie van de Cloud Service Provider (Azure/AWS/Google en anderen), zodat de klanten van de cloud dienst deze in de cloud kunnen implementeren met het vertrouwen dat alle beveiligingsconfiguraties correct zijn ingesteld. Ook bij het gebruik van container technologieën zoals Kubernetes en Docker, kan Secura assessment diensten leveren. Wij hebben ervaring in alle deployment modellen (SaaS, IaaS, PaaS of FaaS).
Of u nu gebruik maakt van gevirtualiseerde servers bij een provider, of uw volledige werklast in de cloud hebt opgebouwd met behulp van microdiensten, in alle gevallen is uw beveiliging uiteindelijk toch uw eigen verantwoordelijkheid.
Secura helpt u inzicht te krijgen in de bedreigingen voor en de beveiligingsstatus van al uw cloud- en cloud-omgeving toepassingen en gegevens.
Van On-Premise naar SaaS
Crystal-Box Cloud (CBC) Assessment voor Cloud Service Customers (CSC's)
In onze security assessments voor Cloud Service Customers (CSC) richten we ons op wat binnen de beheersingsfeer van de CSC ligt. Vergelijkbaar met een Crystal-box (of white-box) applicatie security assessment, wordt de Crystal-box Cloud Assessment CBC) uitgevoerd met zoveel mogelijk informatie die beschikbaar is voor de testers. Dit maakt het mogelijk om de meest diepgaande testen uit te voeren en geeft inzicht in gedetailleerde configuratie-instellingen en autorisaties. Bij een puur applicatiegerichte assessment betekent dit meestal dat de broncode beschikbaar is voor de testers, zodat complexe en moeilijk te vinden kwetsbaarheden kunnen worden geïdentificeerd. In de cloud kan Secura, naast de broncode van een applicatie, kwetsbaarheden identificeren door de eigenlijke cloudconfiguratie-instellingen te onderzoeken.
CCM Compliance Audits voor Cloud Service Providers (CSP's)
Terwijl Secura's CBC-assessments zich richten op het direct helpen van klanten van cloud-dienstverleners, helpt Secura ook Cloud Service Providers (CSP's) met het bieden van zekerheid en begeleiding aan hun klanten. Terwijl grotere leveranciers al het vertrouwen van de industrieën en markten hebben gewonnen, worden kleinere leveranciers of CSP's die cloud-gebaseerde SaaS- en PaaS-diensten aanbieden vaak gevraagd om zekerheid te bieden over hun controle over de beveiliging van gegevens voor hun klanten.
Een ISO27001-certificering is natuurlijk een goed uitgangspunt, maar bevat geen cloudspecifieke controles en compliance-aspecten. Daarom bestaat er een uitbreiding op de ISO27002 standaard, specifiek voor cloud providers (ISO27017), en ook een uitbreiding voor persoonlijk identificeerbare informatie (PII) in de cloud (ISO27018).
Verder heeft de Cloud Security Alliance (CSA) specifiek het Cloud Controls Matrix (CCM) raamwerk ontwikkeld als een stand-alone raamwerk dat zich richt op een volledig scala aan controles met betrekking tot de beveiliging van de cloud.
Hoewel de CCM-standaard is gepositioneerd voor gebruik door cloudconsumenten, blijkt uit de standaard dat een aanzienlijk aantal controles niet direct door een CSP kan worden gecontroleerd. In plaats daarvan is het nodig dat een accountant de CSP aan dit raamwerk toetst, bijvoorbeeld aan de hand van de internationale standaard voor controleopdrachten 3000 (ISAE 3000) assurance-standaard. Dit stelt de CSP in staat om aan de (potentiële) klant te bewijzen dat een onafhankelijke auditor de naleving van het CCM heeft geverifieerd.
Secura verzorgt dergelijke ISAE3000 assurance audits voor CSP's en hun klanten. Onze gecertificeerde en geregistreerde IT-Auditors (Register EDP-auditor, oftewel RE in het Nederlands) zijn gekwalificeerd en Secura's auditproces is efficiënt en modern, ondersteund door diverse tools en volledig in overeenstemming met moderne auditstandaarden. Bovendien kunnen zij voortbouwen op de kennis en ervaring van onze technische experts die cloud security assessments uitvoeren voor onze klanten.
DOWNLOAD FACT SHEET
Ik wil graag meer weten over Cloud Pentesting
Over Secura
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.