研究人員發(fā)現(xiàn)各種云架構(gòu)存在“大量”安全漏洞

德國研究人員稱，他們在亞馬遜Web服務(wù)(AWS)中發(fā)現(xiàn)了一些錯誤，由此他們認(rèn)為，在很多云架構(gòu)中也存在著類似的錯誤，可能導(dǎo)致攻擊者獲取管理權(quán)限，從而盜取所有用戶的數(shù)據(jù)。

雖然研究人員稱他們已將這些安全漏洞告知了AWS，而且AWS已經(jīng)修復(fù)了這些漏洞，但他們認(rèn)為同樣類型的攻擊針對其他的云服務(wù)同樣有效，“因?yàn)橄嚓P(guān)的Web服務(wù)標(biāo)準(zhǔn)無法匹配性能和安全。”

德國波鴻魯爾大學(xué)的一個研究團(tuán)隊(duì)利用多種XML簽名封裝攻擊獲取了不少客戶賬號的管理員權(quán)限，然后可以創(chuàng)建客戶云的新實(shí)例，可以添加鏡像或刪除鏡像。在另一個場合中，研究人員還利用跨站腳本攻擊了開源的私有云軟件框架Eucalyptus。

他們還發(fā)現(xiàn)亞馬遜的服務(wù)也容易受到跨站腳本攻擊。

“這不光是亞馬遜的問題，”研究人員之一的Juraj Somorovsky說。“這些攻擊都是些很普通的攻擊類型。這說明公有云并不像表面看上去那么安全。這些問題在其他云架構(gòu)中也能夠發(fā)現(xiàn)。”

Somorovsky稱，他們正在開發(fā)一個高性能庫，再配以XML安全，便可消除可能被XML簽名封裝攻擊利用的弱點(diǎn)。這項(xiàng)工作會在明年的某個時候完成。AWS承認(rèn)存在簽名封裝攻擊的可能性，并稱已經(jīng)與魯爾大學(xué)合作改正了他們所發(fā)現(xiàn)的問題。AWS的一位發(fā)言人在郵件中稱，“目前還沒有客戶受到影響。必須指出，這一潛在漏洞只涉及授權(quán)AWS API調(diào)用的很小一部分，而且只是非SSL端點(diǎn)調(diào)用的那部分，并非像報(bào)道所稱的是一個可能廣泛傳播的漏洞。”

AWS已經(jīng)發(fā)布了最佳實(shí)踐列表，遵循最佳實(shí)踐，客戶是可以免遭魯爾大學(xué)團(tuán)隊(duì)所發(fā)現(xiàn)的這類攻擊和其他類型攻擊的。下面就是AWS所發(fā)布的最佳時間列表：

● 只使用基于SSL安全的HTTPS端點(diǎn)調(diào)用AWS服務(wù)，確保客戶端應(yīng)用執(zhí)行適當(dāng)?shù)膶Φ日J(rèn)證程序。所有AWS API調(diào)用用到非SSL端點(diǎn)的比例極小，而且AWS未來可能會不支持非SSL API端點(diǎn)的使用。

● 在進(jìn)行AWS管理控制臺訪問時，最好使用多要素認(rèn)證(MFA)。

● 創(chuàng)建身份與訪問管理(IAM)賬戶，該賬戶的作用和責(zé)任有限，并且僅對有特殊資源需求的賬戶開放權(quán)限。

● 有限制的API訪問，與源IP更深互動，使用IAM源IP策略限制。

● 定期輪換AWS證書，包括密鑰、X.509認(rèn)證以及Keypair。

● 在使用AWS管理控制臺時，盡量避免和其他網(wǎng)站有互動，只允許安全的互聯(lián)網(wǎng)瀏覽行為。

● AWS客戶還應(yīng)考慮使用API訪問機(jī)制而不用SAOP，如REST/Query。


服務(wù)器托管、租用，VPS,請聯(lián)系——
億恩科技-明宇
QQ:1613285598
電話：0371-63322220

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]