연구원은 다양 한 클라우드 아키텍처에 "큰" 보안 취약점을 찾는

독일 연구 자들은 그들이 아마존 웹 서비스 (AWS) 오류를 발견 하 고 그들은 믿는 유사한 오류가 많은 클라우드 아키텍처에서 모든 사용자 데이터를 훔치는 공격자가 관리자 권한을 획득으로 이어질 수 있는 존재.

연구진은 그들이 AWS 이러한 취약점에 대 한 정보와 AWS는 그들을 고정 하 고 있다, 하는 동안 그들은 같은 종류의 공격 다른 클라우드 서비스에 대 한 동등 하 게 효과적인 "때문에 생각 관련 웹 서비스 표준 일치 하지 않습니다 성능 및 보안." "

독일 보 훔 대학에서 연구원의 팀 데 여러 XML 서명 캡슐화 공격 수 고객 계정에 관리자 권한의 얻을 하 고 다음 미러를 추가 하거나 거울을 제거할 수 있는 고객 구름의 새 인스턴스를 만듭니다. 또 다른 경우에, 연구원은 또한 교차 사이트 스크립트 공격 오픈 소스 개인 클라우드 소프트웨어 프레임 워크 유칼립투스를 사용.

그들은 또한 발견 아마존의 서비스 사이트 간 스크립팅 공격에 취약.

"그냥 아마존의 문제가 아니다," 말한다 유 Somorovsky, 연구자 중 하나. "이러한 공격은 공격의 일반적인 종류가 있습니다. 즉, 공용 클라우드 보이는 것 만큼 안전 하지 않습니다. 이 문제는 또한 다른 클라우드 아키텍처에서 찾을 수 있습니다. "

Somorovsky 함께 XML 보안, XML 서명 캡슐화 공격에 의해 악용 될 수 있는 취약점을 제거 하는 높은-성능 라이브러리를 개발 하는 그들은 말한다. 작품은 언젠가 내년 완료 됩니다. AWS 서명 캡슐화 공격 가능성을 인정 하 고 그들은 발견 하는 문제를 해결 하려면 Ruhr 대학 왔다 말한다. "아니 고객은 영향을," AWS 대변인은 전자 메일에서 밝혔다. 그것은이 잠재적인 취약점 공인된 AWS API 호출의 작은 부분에만 관련 된 그리고 잠재적으로 널리 확산으로 보고 하지 비 SSL 끝점 호출의 유일한 부분 이다 주목 해야 합니다 취약점. "

AWS는 모범 사례를 따르도록 모범 사례 목록을 발표 했다 그리고 고객 이러한 공격 및 다른 종류의 루 대학 팀에 의해 발견 되는 공격을 피할 수 있다. 다음은 AWS를 해제 하는 가장 좋은 시간 목록입니다.

SSL 보안 기반 HTTPS 끝점만를 사용 하 여 클라이언트 응용 프로그램이 적절 한 피어 인증 프로그램 실행 되도록 AWS 서비스를 호출 하. 비 SSL 끝점에 모든 AWS API 호출의 비율 이다, 그리고 AWS 미래에 SSL API 끝점의 사용을 지원 하지 않을 수 있습니다.

다중 요소 인증 (MFA)은 최고의 AWS 관리 콘솔에 액세스할 때 사용 됩니다.

Id 및 액세스 관리 (IAM) 계정을 역할 및 책임 제한만 하 고 특별 한 리소스 요구 사항 가진 계정을 만듭니다.

제한 된 API 액세스, 소스 ip, IAM 소스 IP 정책 제한 사용 하 여 더 깊은 상호 작용 합니다.

주기적으로 회전 하는 AWS 인증서, 키를 포함 하 여 X.509 인증서 및 키 쌍.

AWS 관리 콘솔을 사용할 때만 안전 하 게 인터넷 검색 동작을 허용 하는 다른 사이트와 상호 작용 하지 않도록 하십시오.

AWS 고객 나머지/쿼리 같은 SAOP 없이 API 액세스 메커니즘을 사용 하 여도 좋습니다.

(책임 편집기: 유산의 좋은)