Testowanie w chmurze to nowa dyscyplina, która w chwili pisania tego tekstu nie jest zbyt dobrze rozwinięta. Celem testowania chmury jest identyfikacja luk związanych z chmurą i narażanie zasobów chmury. Zwykle robi się to poprzez wykrycie słabych punktów w zarządzaniu zasobami, łańcuchem dostaw, tożsamością i dostępem (IAM) lub kluczowymi aspektami zarządzania chmurą. Możliwymi celami mogą być pamięć masowa w chmurze, usługi w chmurze, serwery w chmurze i ogólnie dostęp do zarządzania chmurą. Rodzaje wniosków wynikających z testów w chmurze obejmują zarówno pliki dostępne w Internecie, jak i luki w konfiguracji, które mogą pozwolić na eskalację uprawnień lub przejęcie konta. W miarę wdrażania nowych usług w chmurze mogą one integrować się z innymi usługami w chmurze, a testowanie w chmurze może pomóc zidentyfikować słabe punkty w zabezpieczeniach integracji języka SAML (Security Assertion Markup Language) i innych narzędzi umożliwiających jednokrotne logowanie (SSO), które indywidualnie mogą nie zapewniać ryzyko, ale w połączeniu mogą prowadzić do kompromisu. SOW w przypadku testowania w chmurze są jeszcze trudniejsze, ponieważ oprócz tego, czego chce firma, różni dostawcy usług w chmurze mają własne zasady zaangażowania (ROE), które regulują ich usługi. Dlatego przed rozpoczęciem testowania upewnij się, że znasz wszystkie testowane komponenty i ROE dostawcy chmury. Niektórzy z tych dostawców mogą również mieć błąd programu nagród,więc jeśli znajdziesz słabe punkty, możesz je zgłosić na wiele sposobów. Wiele organizacji przenosi się do chmury, aby wyeliminować inne typy ryzyka, ale usługi w chmurze są często trudne do bezpiecznej konfiguracji i stwarzają inne możliwości błędnej konfiguracji i słabych punktów bezpieczeństwa. Bez testowania tych kontroli i tworzenia procesów, zasad i ram zapewniających bezpieczeństwo usług w chmurze firma może wprowadzić ryzyko, które nie jest kategoryzowane i oceniane za pomocą istniejących narzędzi i zasad.
