|
德國研究人員稱��,他們在亞馬遜Web服務(AWS)中發(fā)現(xiàn)了一些錯誤�,由此他們認為��,在很多云架構中也存在著類似的錯誤��,可能導致攻擊者獲取管理權限�,從而盜取所有用戶的數(shù)據(jù)。
雖然研究人員稱他們已將這些安全漏洞告知了AWS�����,而且AWS已經(jīng)修復了這些漏洞,但他們認為同樣類型的攻擊針對其他的云服務同樣有效�,“因為相關的Web服務標準無法匹配性能和安全。”
德國波鴻魯爾大學的一個研究團隊利用多種XML簽名封裝攻擊獲取了不少客戶賬號的管理員權限����,然后可以創(chuàng)建客戶云的新實例,可以添加鏡像或刪除鏡像��。在另一個場合中�,研究人員還利用跨站腳本攻擊了開源的私有云軟件框架Eucalyptus。
他們還發(fā)現(xiàn)亞馬遜的服務也容易受到跨站腳本攻擊��。
“這不光是亞馬遜的問題�,”研究人員之一的Juraj Somorovsky說。“這些攻擊都是些很普通的攻擊類型����。這說明公有云并不像表面看上去那么安全。這些問題在其他云架構中也能夠發(fā)現(xiàn)�����。”
Somorovsky稱�����,他們正在開發(fā)一個高性能庫��,再配以XML安全���,便可消除可能被XML簽名封裝攻擊利用的弱點���。這項工作會在明年的某個時候完成。AWS承認存在簽名封裝攻擊的可能性�����,并稱已經(jīng)與魯爾大學合作改正了他們所發(fā)現(xiàn)的問題�。AWS的一位發(fā)言人在郵件中稱,“目前還沒有客戶受到影響�。必須指出,這一潛在漏洞只涉及授權AWS API調(diào)用的很小一部分�����,而且只是非SSL端點調(diào)用的那部分�,并非像報道所稱的是一個可能廣泛傳播的漏洞。”
AWS已經(jīng)發(fā)布了最佳實踐列表����,遵循最佳實踐�,客戶是可以免遭魯爾大學團隊所發(fā)現(xiàn)的這類攻擊和其他類型攻擊的���。下面就是AWS所發(fā)布的最佳時間列表:
● 只使用基于SSL安全的HTTPS端點調(diào)用AWS服務�����,確�?蛻舳藨脠(zhí)行適當?shù)膶Φ日J證程序����。所有AWS API調(diào)用用到非SSL端點的比例極小,而且AWS未來可能會不支持非SSL API端點的使用����。
● 在進行AWS管理控制臺訪問時,最好使用多要素認證(MFA)���。
● 創(chuàng)建身份與訪問管理(IAM)賬戶����,該賬戶的作用和責任有限�����,并且僅對有特殊資源需求的賬戶開放權限�����。
● 有限制的API訪問�����,與源IP更深互動�����,使用IAM源IP策略限制�����。
● 定期輪換AWS證書�,包括密鑰、X.509認證以及Keypair����。
● 在使用AWS管理控制臺時,盡量避免和其他網(wǎng)站有互動�,只允許安全的互聯(lián)網(wǎng)瀏覽行為。
● AWS客戶還應考慮使用API訪問機制而不用SAOP���,如REST/Query���。
服務器托管�����、租用����,VPS,請聯(lián)系——
億恩科技-明宇
QQ:1613285598
電話:0371-63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
