通过将数据迁移到云，企业暂时不必担心数据的丢失和被盗，但数据中心外部渗透测试仍然是至关重要的。

　　出于安全考虑，许多企业将IT服务的重要部分卸载，应用程序和其他数据模糊的区域被称为云。很多时候，数据迁移到云意味着将数据迁移到服务器或一个服务器集群，保留在远程数据中心。如果不必将数据传输到另一个地方，远程卸载数据是一种常被推荐的安全操作。

　　然而，即使将处理数据的责任转移，这些数据真的更安全吗?云用户如何知道数据中心比原来数据托管的地方更安全呢?答案就是要及时了解数据托管中心是否已经完成渗透测试。

　　外部渗透测试的好处

　　许多网络企业定期进行渗透测试。这使企业安全技术人员获得全面、最新的系统安全情况。此外，外部渗透测试基础设施允许企业估计符合安全标准。一些企业有专门的团队，针对自己的网络进行渗透测试。然而，大多数企业依靠更专业的第三方人员进行渗透测试。

　　一些组织以某种形式接受、处理和储存支付卡行业(PCI)的数据。根据普遍接受的行业标准，不敏感的数据类型，如PCI数据，必须从处理其他的网络区域分割出来。外部渗透测试允许企业决定如何严格遵守这些标准。

　　渗透测试是怎么做的?

　　如果一个公司选择将敏感数据迁移到云，通常选择将数据卸载到远程数据中心。如果公司对数据中心如何适应其安全标准感到好奇，外部渗透测试则需要由第三方如VerSprite完成。

　　完成商定的测试范围之后，许多渗透测试服务提供商通过黑盒子方法开始测试。这意味着测试人员在一个相对安全、可靠的环境下对目标进行研究。黑盒子方法使渗透测试人员更好地模拟攻击者惯用的手段。

　　许多数据中心管理者使用企业级软件，他们可以集中管理数据中心的资产。而且，通过对软件进行配置，数据中心管理人员能够远程管理资产。进而，渗透测试人员可以经常发现数据中心管理者使用公开分配IP地址的接口监督他的资产。测试人员可以通过WhoIs查询数据中心的远程域或一个简单的Google搜索。一旦发现IP地址，渗透测试人员可以使用Nmap端口扫描或其他方法，查看开放端口、操作系统信息、用户代理字符串和其他信息，更深入地挖掘系统中存在的漏洞。

　　经过渗透测试人员初步研究，他们会检查可能的网络入口点。如果属于深入渗透商定的范围的一部分，测试人员将进一步冒险进入网络搜索管理资产。

　　从数据中心的角度来看，由于承担着处理大量数据的责任，更应该定期进行外部渗透测试。虽然许多企业可以推卸掉责任，但数据中心可能没有这种待遇。

　　责任编辑：xjy