研究人員發現各種雲架構存在「大量」安全性漏洞

德國研究人員稱，他們在亞馬遜Web服務(AWS)中發現了一些錯誤，由此他們認為，在很多雲架構中也存在著類似的錯誤，可能導致攻擊者獲取管理許可權，從而盜取所有使用者的資料。 雖然研究人員稱他們已將這些安全性漏洞告知了AWS，而且AWS已經修復了這些漏洞，但他們認為同樣類型的攻擊針對其他的雲服務同樣有效，「因為相關的Web服務標準無法匹配性能和安全。 」德國波鴻魯爾大學的一個研究團隊利用多種XML簽名封裝攻擊獲取了不少客戶帳號的管理員許可權，然後可以創建客戶雲的新實例，可以添加鏡像或刪除鏡像。 在另一個場合中，研究人員還利用跨站腳本攻擊了開源的私有雲軟體框架Eucalyptus。 他們還發現亞馬遜的服務也容易受到跨站腳本攻擊。 「這不光是亞馬遜的問題，」研究人員之一的Juraj Somorovsky說。 「這些攻擊都是些很普通的攻擊類型。 這說明公有雲並不像表面看上去那麼安全。 這些問題在其他雲架構中也能夠發現。 」Somorovsky稱，他們正在開發一個高性能庫，再配以XML安全，便可消除可能被XML簽名封裝攻擊利用的弱點。 這項工作會在明年的某個時候完成。 AWS承認存在簽名封裝攻擊的可能性，並稱已經與魯爾大學合作改正了他們所發現的問題。 AWS的一位發言人在郵件中稱，「目前還沒有客戶受到影響。 必須指出，這一潛在漏洞只涉及授權AWS API調用的很小一部分，而且只是非SSL端點調用的那部分，並非像報導所稱的是一個可能廣泛傳播的漏洞。 」AWS已經發佈了最佳實踐清單，遵循最佳實踐，客戶是可以免遭魯爾大學團隊所發現的這類攻擊和其他類型攻擊的。 下面就是AWS所發佈的最佳時間清單：◆只使用基於SSL安全的HTTPS端點調用AWS服務，確保用戶端應用執行適當的對等認證程式。 所有AWS API調用用到非SSL端點的比例極小，而且AWS未來可能會不支援非SSL API端點的使用。 ◆在進行AWS管理主控台訪問時，最好使用多要素認證(MFA)。 ◆創建身份與訪問管理(IAM)帳戶，該帳戶的作用和責任有限，並且僅對有特殊資源需求的帳戶開放許可權。 ◆有限制的API訪問，與源IP更深互動，使用IAM源IP策略限制。 ◆定期輪換AWS證書，包括金鑰、X.509認證以及Keypair。 ◆在使用AWS管理主控台時，儘量避免和其他網站有互動，只允許安全的互聯網流覽行為。 ◆AWS客戶還應考慮使用API存取機制而不用SAOP，如REST/Query。 【編輯推薦】雲安全：利用網格雲對抗應用層DDoS雲安全的最新「安全」觀點SaaS供應商雲安全問題的五大質問五大質問SaaS供應商的雲安全問題如何解決移動雲安全問題？ 邁克菲推出創新雲安全計畫想確保雲安全？ 給你八個技巧企業提升雲安全的六大方法【責任編輯：佟媛微 TEL：（010）68476606】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：研究人員發現各種雲架構存在「大量」安全性漏洞 返回網路安全首頁