云渗透测试认证专家（CCPTP）开启报名

越来越多的企业将数据和应用程序迁移到云中，云安全的重要性空前，其风险更是空前。面对这些日益复杂的安全风险，评价云环境安全性不能再采用单一的面向云基础设施的安全管控标准，对云环境上运行的系统和应用的渗透测试也成为检验云安全的重要技术手段。

云渗透测试是云环境、系统和服务安全保障的关键。通过渗透测试能够直观识别技术上的安全弱点，同时可以验证系统的健壮性。但是云环境基础设施控制权的转移，使得云渗透测试的范围和边界跟传统渗透测试相比产生了很大的变化。对渗透测试也提出了更高的要求，不仅要基于共享责任模型来确定渗透测试的边界，还要考虑渗透测试的授权与合规问题。企业需要具有云渗透测试专业能力的安全人员，能够在云环境中进行云渗透测试，帮助企业及时发现并修复安全问题，提高云环境的安全性和稳定性，保障云上业务与数据资产的安全。

在这样的现实背景下，云渗透能力对安全人员与渗透测试人员都是亟需补充的能力，云安全联盟大中华区开发了云渗透测试课程，并在2023年第六届云安全联盟大中华区大会（CSA GCR Congress）上正式推出了云渗透测试认证专家（Certified Cloud Penetration Test Professional,CCPTP）认证与培训项目，旨在提供针对云计算渗透测试所需的专业实操技能，弥补云渗透测试技能人才培养的空缺，为专业人员提供技能保证，为用人单位选拔人才作保障。

CSA 云安全人才培养课程体系

承制科技

CCPTP

云渗透测试认证专家

CCPTP由国际权威组织国际云安全联盟于2023年发布的培训和认证计划，该认证课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。通过CCPTP的考试，确保从事云计算安全相关的从业人员对云渗透测试体系架构、法律法规、测试技术以及实践技术有一个全面的了解和广泛的认知，帮助云安全专业人员深入了解云上渗透测试工作，以便在客户授权的前提下合法地评估目标系统的安全状态，并为解决云安全问题提供帮助。

6月开班时间

上课时间

6月10日、11日（线上直播）

6月17日、18日（线下面授）

上课方式/地点

云网基础设施安全国家工程研究中心（上海市浦东新区秀沿路189号B23栋）

7月开班时间

上课时间

7月22日、23日、8月5日、6日、12日

上课方式/地点

全程线上直播

报名前30名

赠送

价值1000元的京东卡

前30名

赠

送

课程背景

传统的渗透测试方法不适用云场景；在云场景中，对传统的安全从业人员提出更高的要求，云渗透测试需要对云服务提供商的资源和配置进行模拟攻击，以评估云的安全性；云渗透安全专家需要具备深入了解云技术、云安全风险和云安全控制的能力，以及云渗透测试的技能，同时，他们还需要具备协调和沟通的能力，以确保测试过程中不会影响业务正常运行。

课程目标

通过CCPTP课程学习，要求学员系统掌握如何开展云计算下的渗透测试工作，在云上授权目标系统中寻找弱点和漏洞，并以合法的方式评估目标系统的安全状态，同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。

熟练掌握常见云服务模型（IaaS、PaaS、SaaS）测试方法及主流云平台在租户视角的最佳安全实践、包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识，例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等。

要求熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度，按照从云上资产发现与信息收集阶段开始，依照云上租户应用层至云底层基础设施层的层级顺序，学习相关的渗透测试方法、测试工具，并具备渗透测试的实操能力。

根据渗透测试的情况撰写专业的云渗透测试报告（报告内容包括但不限于漏洞证明过程、修复或安全加固建议）。

学习对象

适用于云安全渗透测试人员、云安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等，需具备一定的云计算、云安全和渗透测试的基础知识。

课程大纲

模块1-云计算概念和体系架构

云计算基本定义
云计算参考架构
共享职责模型
CSA共享职责评估

模块2-云计算整体安全

云安全模型
云安全范围与职责
云计算架构参与者
云安全与 DevOps
云渗透测试技术

模块3-渗透测试安全意识培训

定义及法律规范解读
渗透测试通用框架流程
渗透测试服务条款制定
渗透测试范围确定
云上渗透测试边界

模块4-云计算攻击路径

传统攻防 vs 云攻防
云计算攻击路径全景
云纵向攻击路径
云横向扩展攻击路径
常见攻击路径与场景

模块5-云上资产发现与信息收集

云基础架构组件介绍
云上大规模侦查技术
针对云计算架构中不同参与角色的安全性测试

模块6-云租户业务层渗透测试

云租户web应用攻击面概览
云计算安全威胁Top11测试方式
传统漏洞云危害升级

模块7-云管理层渗透测试

云管理层攻击面概览
云控制台管理渗透测试技术
身份与访问管理渗透测试技术
应用程序编程接口渗透测试技术
云数据加密和解密攻防技术
云上监控、日志审计与防御绕过技术

模块8-云服务层渗透测试

云安全模型
云安全范围与职责
云计算架构参与者
云安全与 DevOps
云渗透测试技术

模块9-虚拟化与容器渗透测试

定义及法律规范解读
渗透测试通用框架流程
渗透测试服务条款制定
渗透测试范围确定
云上渗透测试边界

模块10-云基础设施层渗透测试

云基础设施攻击面、路径与核心目标概述
云计算网络下的渗透测试技巧
多租户环境下网络渗透技术
混合云及其他渗透测试方法

培训安排

类型	课时	收获
理论学习	18	云计算概念及体系、云安全渗透、云渗透测试安全意识、云上安全场景、传统漏洞云危害、云计算攻击路径
实操训练	12	云上信息探测能力、云服务环境下漏洞利用、云IAM凭证提权、临时凭据访问COS、云上容器逃逸、云镜像敏感信息搜集

课程讲师

北京老李

中国首批CSA CCSK/CCPTP/ACSE认证师 (前五名)

中国首批CSA CDSP数据安全认证讲师 (前六名)

中国首批CSA 区块链基础级/专家级认证讲师(前六名)

中国首批EXIN云安全管理认证讲师(前五名)

中国首批EXIN云服务管理讲师(前五名)

中国首批APMGISO27001/ISO200000全系列讲师(前十名)

中国首批DevOps Master讲师 (前十名)

中国首批Product owner讲师 (前十名)

中国首批EXIN Scrum Master讲师

中国首批EXIN Lean IT精益看板讲师

中国首批PMI-ACP“黄埔一期”TTT讲师

中国首批EXIN数据驱动世界课程TTT讲师

中国首批ITIL Expert、ITIL4全系列讲师

EXIN 数字化转型VeriSM、人工智能、业务敏捷推广者APMG

IT治理Cobit5/2019讲师、CISP认证讲师

等保2.0-云等保课件编写参与者

白皮书

CSA 微服务架构安全

CSA 云计算的顶级威胁: 深度分析

CSA 云计算11类顶级威胁

CSA Dapp安全指南

CSA 用区块链技术保障物联网安全

CSA 云安全现状年度报告

出版物

《敏捷项目管理全景》 (2022年3月)

《网络服务安全与监控》 (2021年出版)

《云途·云图》 (2021年出版)

《零信任-SDP》(2021年出版)

《CSA数据安全领域指南》(2022年底)

《5G安全》(2022年底)

专家工作组

参与CSA CCSK4.0本土化专家工作组 (2018年始)

参与CSA CDSP1.0本土化化专家工作组 (2019年始)

参与CSA CBP1.0本土化化专家工作组 (2020年始)

参与CSA CCPTP本土化化专家工作组 (2022年始)

参与CSA ACSE本土化化专家工作组 (2022年始)

参与CSA CDSP2.0本土化化专家组长 (2023年始)

关于考试

考试类型	考题类型	题目数量	通过线	时长	备注
理论考试	单选题	80道	80%	120分钟	考试完成后10个工作日内出成绩
实操考试	上级操作	4道	75%	120分钟	理论出成绩后预约实操考试，一般在月底
备注：考生同时通过理论考试及实操考试才能获得CCPTP证书。