激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門戶資訊平臺!
        服務(wù)器租用 4元建網(wǎng)站

        各種云架構(gòu)存在的安全漏洞

        德國研究人員稱,他們在亞馬遜Web服務(wù)(AWS)中發(fā)現(xiàn)了一些錯(cuò)誤,由此他們認(rèn)為,在很多云架構(gòu)中也存在著類似的錯(cuò)誤,可能導(dǎo)致攻擊者獲取管理權(quán)限,從而盜取所有用戶的數(shù)據(jù)。
              德國研究人員稱,他們在亞馬遜Web服務(wù)(AWS)中發(fā)現(xiàn)了一些錯(cuò)誤,由此他們認(rèn)為,在很多云架構(gòu)中也存在著類似的錯(cuò)誤,可能導(dǎo)致攻擊者獲取管理權(quán)限,從而盜取所有用戶的數(shù)據(jù)。

        雖然研究人員稱他們已將這些安全漏洞告知了AWS,而且AWS已經(jīng)修復(fù)了這些漏洞,但他們認(rèn)為同樣類型的攻擊針對其他的云服務(wù)同樣有效,“因?yàn)橄嚓P(guān)的Web服務(wù)標(biāo)準(zhǔn)無法匹配性能和安全。”

        德國波鴻魯爾大學(xué)的一個(gè)研究團(tuán)隊(duì)利用多種XML簽名封裝攻擊獲取了不少客戶賬號的管理員權(quán)限,然后可以創(chuàng)建客戶云的新實(shí)例,可以添加鏡像或刪除鏡像。在另一個(gè)場合中,研究人員還利用跨站腳本攻擊了開源的私有云軟件框架Eucalyptus.

        他們還發(fā)現(xiàn)亞馬遜的服務(wù)也容易受到跨站腳本攻擊。

        “這不光是亞馬遜的問題,”研究人員之一的Juraj Somorovsky說?!斑@些攻擊都是些很普通的攻擊類型。這說明公有云并不像表面看上去那么安全。這些問題在其他云架構(gòu)中也能夠發(fā)現(xiàn)。”

        Somorovsky稱,他們正在開發(fā)一個(gè)高性能庫,再配以XML安全,便可消除可能被XML簽名封裝攻擊利用的弱點(diǎn)。這項(xiàng)工作會在明年的某個(gè)時(shí)候完成。AWS承認(rèn)存在簽名封裝攻擊的可能性,并稱已經(jīng)與魯爾大學(xué)合作改正了他們所發(fā)現(xiàn)的問題。AWS的一位發(fā)言人在郵件中稱,“目前還沒有客戶受到影響。必須指出,這一潛在漏洞只涉及授權(quán)AWS API調(diào)用的很小一部分,而且只是非SSL端點(diǎn)調(diào)用的那部分,并非像報(bào)道所稱的是一個(gè)可能廣泛傳播的漏洞?!?span>

        AWS已經(jīng)發(fā)布了最佳實(shí)踐列表,遵循最佳實(shí)踐,客戶是可以免遭魯爾大學(xué)團(tuán)隊(duì)所發(fā)現(xiàn)的這類攻擊和其他類型攻擊的。下面就是AWS所發(fā)布的最佳時(shí)間列表:

        只使用基于SSL安全的HTTPS端點(diǎn)調(diào)用AWS服務(wù),確保客戶端應(yīng)用執(zhí)行適當(dāng)?shù)膶Φ日J(rèn)證程序。所有AWS API調(diào)用用到非SSL端點(diǎn)的比例極小,而且AWS未來可能會不支持非SSL API端點(diǎn)的使用。

        在進(jìn)行AWS管理控制臺訪問時(shí),最好使用多要素認(rèn)證(MFA)。

        創(chuàng)建身份與訪問管理(IAM)賬戶,該賬戶的作用和責(zé)任有限,并且僅對有特殊資源需求的賬戶開放權(quán)限。

        有限制的API訪問,與源IP更深互動,使用IAMIP策略限制。

        定期輪換AWS證書,包括密鑰、X.509認(rèn)證以及Keypair.

        在使用AWS管理控制臺時(shí),盡量避免和其他網(wǎng)站有互動,只允許安全的互聯(lián)網(wǎng)瀏覽行為。

        AWS客戶還應(yīng)考慮使用API訪問機(jī)制而不用SAOP,如REST/Query.

        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
        服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
        虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-55621053
        網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:0371-60135995
        服務(wù)熱線:0371-60135900

        0
        0
        分享到:責(zé)任編輯:阿云

        相關(guān)推介

        共有:0條評論網(wǎng)友評論:

        驗(yàn)證碼 看不清換一張 換一張

        親,還沒評論呢!速度搶沙發(fā)吧!