彩票走势图

云端安全攻防战——攻击路径

转帖|行业资讯|编辑:龚雪|2014-10-11 09:12:51.000|阅读 224 次

概述:云服务攻击大部分来至IaaS、PaaS、SaaS三个层面。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

云服务的崛起,使得更多的恶意攻击转向云端。现在云服务的攻击,大部分来至IaaS、PaaS、SaaS三个层面。

IaaS层面

分布式拒绝服务攻击(DDoS)。 迄今为止DDoS攻击仍然是最有效的攻击手段,且随着DDoS技术进步,这种攻击成本越来越低,并且在将来很长一段 时间内仍然无法根治。这种攻击隐蔽且非常有效,UCloud在今年5月就遭受到63G的大流量攻击。这对IaaS厂商来说是致命的,长时间的业务中断,任 何客户都承受不起。利用NTP的反射型DDoS可以说是DDoS中的核武器、杀手锏,可将攻击流量放大至200倍,如四两拨千斤般,几乎可以打瘫任何厂商 的带宽出口,国外CDN厂商CloudFlare今年年初就遭受到400G的反射型流量攻击。

Web攻击。为了提升交互体验,云服务商都会提供一个Web方式的管理控制台,若控制台自身存在漏洞,一定会造成危害。这种漏洞主要来自两方 面。一方 面是程序代码对输入信息校验不完整或程序逻辑有误造成的漏洞。例如,某云计算巨头厂商基于开源软件ElasticSearch开发的搜索工具存在远程执行 的漏洞,可以执行任意命令和写文件操作。另一方面是部署或使用第三方工具不当造成的漏洞。例如,某云服务商使用OpenSSL不当造成用户信息泄露,进而 使黑客能够以该用户身份登录并获取服务器敏感信息。

虚拟机资源滥用。当前云计算业务正处于发展期,一些传统用户还处于是否向云计算迁移的纠结中。因此,很多云厂商提供了免费的虚拟机试用服务,黑 客正利 用了这一机会并结合其他手段,如批量注册免费邮箱等,来大量申请免费云计算资源构筑强大的云攻击环境,并且形成一种商业服务AaaS(Attacks- as-a-Service),任何人只要购买该服务即可对任意目标发动DDoS攻击。

PaaS层面

底层IaaS遇到的问题在PaaS层面依然存在。由于PaaS平台可以托管应用并在其平台上完成开发工作,如果权限管理不正确的话会导致用户的App 被篡改乃至被恶意删除。今年5月,新浪SAE就被发现存在用户越权操作、可删除任意用户的代码仓库的漏洞。另外,PaaS平台提供的数据库服务,如果数据 库配置不当也会产生很多安全隐患,有些数据库甚至缺少强健的身份认证能力,如Redis。如果PaaS厂商对访问请求没有限制的话,黑客可以通过暴力破解 ;方式获取数据库密码,从而导致数据泄露。

今年6月,国外代码托管服务商Code Spaces(构筑在亚马逊AWS EC2下的PaaS平台)由于被黑客恶意删除了全部数据导致被迫关闭。从中我们看到由于PaaS平台是构筑在IaaS基础之上的,用户不能触及真正的物理 服务器,所以管理服务器的 操作只能通过IaaS提供的控制面板、管理控制台等Web界面来完成,一旦口令被破解,真实用户只能眼睁睁看着黑客操控自己的机器。所以我建议IaaS除 了提供必要的基础安全措施外,还可以进一步考虑提供一些额外的安全机制,比如多因素身份认证等增值服务,给用户更多选择。

SaaS层面

SaaS的业务形态主要是以Web方式进行输出,所以面临的主要安全风险都集中在SQL注入、跨站脚本(XSS)、API交互缺乏签名验证导致仿冒盗用乃至数据泄露等方面。


标签:网络安全云服务数据安全云端

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP