专访|云安全攻防：从理论到应用的全面探索

2023年11月，美国核研究实验室（INL）遭遇数据泄露。同年10月，索尼的员工数据在MOVEit攻击事件中被泄露。2024年2月，某知名制造商因云存储服务器的配置错误导致了敏感数据泄露。

这些事件表示企业必须重视云安全建设，采取积极措施保护他们的数据和云基础设施免受攻击。从攻防角度来看，云渗透能力对安全人员与渗透测试人员都是亟需补充的能力，仍是企业发展所需。

在这一背景下，云安全联盟大中华区发布的CCPTP（云渗透测试认证专家）课程为安全专业人士提供了针对云计算渗透测试所需的专业实操技能，弥补云渗透测试认知的差距和技能人才培养的空白，以更好应对云安全威胁。

云安全之旅：从初梦到探索

Q：请简单作一个自我介绍，包括您在云渗透测试领域的经验和专长。

李来冰：非常荣幸收到CSA的邀请，我叫李来冰，来自腾讯安全云鼎实验室，担任云安全高级研究员一职。我的主要研究方向为云产品安全测试与云特性漏洞挖掘、云安全风险收敛与能力建设等。

Q：请问你是什么时候开始接触云安全的？

李来冰：我是从之前加入绿盟的星云实验室开始接触云安全的。进入绿盟之前主要从事的是Web安全攻防研究，期间也慢慢了解到容器、虚拟化相关的技术，但大多浅尝辄止。中间有幸加入星云实验室，体系化地学习了云安全相关的技术。

在不断学习的过程中，我深知云安全是一个前景较好但又需要深耕的领域，因此决定全心投入其中。

后来偶然的机会，加入了如今的云鼎实验室，专注于挖掘腾讯云自身产品的安全漏洞，通过不断实践提升了个人的能力，视角也开始从攻击拓展到防御，也越来越清楚云安全建设之不易，未来希望能够在云安全领域有不错的成就和发展。

云安全之旅：从探索到专业化发展

Q： CCPTP的课程内容涵盖了哪些关键方面？您觉得哪些方面对您最有帮助和启发？

李来冰：CCPTP课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。

在CCPTP课程编写的过程中，我主要负责云管理层渗透测试章节的编写，但在看到教程的整体大纲之后，还是收货颇丰。过去的工作中，我的关注点更偏向于云原生技术的攻防研究与实践，对于云计算的整体安全以及公有云安全的研究面是有所欠缺的。

所以在学习了CCPTP课程之后，对于云计算安全有了更加体系化的掌握，这样的好处是，在云环境攻击实战于防御检测的实际工作中，所能联想的攻击面与攻击链都能有所提升，照应了安全行业的经典名言“知识的广度决定攻击面的宽度，知识的深度决定攻击链的长度”，云计算领域也是如此。

Q：作为既是讲师又学员的角度上来说，您认为学习CCPTP云渗透测试认证专家课程与其他渗透测试相关的认证课程有哪些区别呢？CCPTP课程对云安全领域有哪些贡献和价值？

李来冰：专注于云计算领域，是CCPTP的核心特征，也是与其他渗透测试课程的主要区别。其次在于课程的更新与发展，由于云计算技术的不断发展与变化，CCPTP认证课程可能会更加关注最新的云计算安全技术与知识，以保证学员在云安全知识上的发展。

对于云安全领域的贡献和价值，CCPTP云渗透测试认证专家作为全球首个云渗透测试能力培养课程及人才培养认证，弥补了国内云渗透测试认知的差距和技能型人才培养的空白。其次相关人员在完成CCPTP课程的学习之后，会获得相应的认证和证书，该证书在云安全行业中具有一定的权威性和认可度，有助于提升在云安全领域的职业竞争力。同时实际工作中在面对云安全领域的威胁和挑战时，会更加专业的进行解决。

Q：CCPTP对您的职业发展有何帮助？可以结合日常工作的一些真实的成功案例或其他学员向你反馈的成就故事。

李来冰：通过学习CCPTP，帮助我掌握了全面的云安全知识和实战技术，使我能够更好地适应云环境下的安全挑战，例如在云安全产品赋能工作中，能够考虑的面更加广泛，大大的提升了安全产品的防御能力。同时在云安全领域的培训交流工作中，思路和表述更具专业性。