BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

AWS管理控制台的安全顾虑

| 作者 Abel Avram 关注 9 他的粉丝 ,译者 郭晓刚 关注 0 他的粉丝 发布于 2009年1月22日. 估计阅读时间: 4 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

云计算的安全性有不少争议。有些人认为云比许多私有网络要安全,另一些人则认为云计算可能敞开了更多的安全漏洞。比如就有人说Amazon基于Web的AWS管理控制台为骇客创造了更多机会。

GNUCITIZEN认为云计算更安全

依我之见,[Amazon的安全度]高得离谱,我敢保证你自己打造的方案,安全度不及Amazon的百分之一。

……云计算安全吗?我回答是,如果你知道自己在做什么。

Alistair Croll对为什么云更安全举出了一些理由:

人工参与更少——大多数计算机故障都是人为错误的结果;只有20%~40%源自技术故障。云的运营商为了有利可图,会尽可能排除人工操作。

工具更佳——云负担得起高端的数据保护和安全监控工具,也负担得起运作这些工具的专业人才。我信任Amazon的运维能力远胜过我自己。

流程严格——你也许有能力驱使一位同事去修改本公司的IT设施,但想在没有正当授权的情况下驱使云提供商,不可能。

不是你的员工——大多数安全缺口都是内部员工造成的。云运营商不是你的员工。商业间谍也多以员工为目标。

Alistair也提出了他的顾虑:

只要是新技术,肯定有我们未曾想到的弱点。不过弱点出现在云本身的机会不高,更可能出现在传输和修改云中数据所用的管理工具上,也很可能出现在用于访问云中应用的远程工具上。

再把数据放入云端之前,确实有一些需要谨慎考虑的理由。但请把忧虑放对地方,否则你不如把数据搁在枕头底下睡觉。

对于Amazon S3,x86Virtualization写道:

整个S3系统最薄弱的地方可能是Amazon自己的密码方案。该方案允许非常弱的密码,而且我相信利用一些巧妙的社交工程,有可能假称由于客户公司的邮件策略变化,让Amazon把重置密码发送到新的e-mail地址。比如找准下手的目标公司之后,注册一个含有该公司名的域名如“mail-公司名.com”,说不定就能让客服人员相信你是那家公司的员工。如有必要,还可以伪造一些假信头,弄一个相同号段的传真号码。很快你就会成为该公司最小部门的头头了。这种事情肯定发生得不少,因为Amazon专门设立了一个页面通告自最后一次订单以来哪些人的e-mail变更过

那么,你所用的云有多安全呢?套用窃取域名的招数,有可能得到Amazon密码和帐号,下载保存在S3的全部内容,启动和关闭云,管理Amazon提供的任何Web服务。

继续这个话题,Krishnan Subramanian认为新增的AWS Management Console带来新一层的安全隐忧

在这个控制台发布以前,窃贼窃得用户的Amazon密码,就可以登录进AWS帐户取得用户的公匙、私匙和证书。然后再用以上信息在EC2部署里为所欲为。而新的控制台帮骇客们省了一步,他们只需要用偷来的Amazon.com帐号密码登录进EC2管理控制台的Web界面,就能大肆破坏。完全不需要费劲去查找公匙、私匙、证书。从安全的角度看,无疑是危险的。

Krishnan提了几个增强AWS安全性的建议:

  1. 分离Amazon.com帐号与AWS帐号。事实上在Amazon.com用户中,同时使用AWS的比例微不足道,分离帐号不会有太大的影响。
  2. 强制用户选择极难破解的密码。很有必要设立一种策略去强制所有AWS帐号都使用强密码。

虽然有种种安全风险,用户很可能还是会继续使用AWS控制台,因为只需要几下鼠标点击,用户就可以方便地启动和管理EC2实例,查找和建立AMI(Amazon机器映像),管理EBS(弹性块存储)卷和弹性IP。

查看英文原文:The AWS Management Console Raises Security Concerns

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT