德国研究人员称，他们在亚马逊Web服务（AWS）中发现了一些错误，由此他们认为，在很多云架构中也存在着类似的错误，可能导致攻击者获取管理权限，从而盗取所有用户的数据。

    虽然研究人员称他们已将这些安全漏洞告知了AWS，而且AWS已经修复了这些漏洞，但他们认为同样类型的攻击针对其他的云服务同样有效，“因为相关的Web服务标准无法匹配性能和安全。”

    德国波鸿鲁尔大学的一个研究团队利用多种XML签名封装攻击获取了不少客户账号的管理员权限，然后可以创建客户云的新实例，可以添加镜像或删除镜像。在另一个场合中，研究人员还利用跨站脚本攻击了开源的私有云软件框架Eucalyptus。

    他们还发现亚马逊的服务也容易受到跨站脚本攻击。

    “这不光是亚马逊的问题，”研究人员之一的Juraj Somorovsky说。“这些攻击都是些很普通的攻击类型。这说明公有云并不像表面看上去那么安全。这些问题在其他云架构中也能够发现。”

    Somorovsky称，他们正在开发一个高性能库，再配以XML安全，便可消除可能被XML签名封装攻击利用的弱点。这项工作会在明年的某个时候完成。AWS承认存在签名封装攻击的可能性，并称已经与鲁尔大学合作改正了他们所发现的问题。AWS的一位发言人在邮件中称，“目前还没有客户受到影响。必须指出，这一潜在漏洞只涉及授权AWS API调用的很小一部分，而且只是非SSL端点调用的那部分，并非像报道所称的是一个可能广泛传播的漏洞。”

    AWS已经发布了最佳实践列表，遵循最佳实践，客户是可以免遭鲁尔大学团队所发现的这类攻击和其他类型攻击的。下面就是AWS所发布的最佳时间列表：

    ● 只使用基于SSL安全的HTTPS端点调用AWS服务，确保客户端应用执行适当的对等认证程序。所有AWS API调用用到非SSL端点的比例极小，而且AWS未来可能会不支持非SSL API端点的使用。

    ● 在进行AWS管理控制台访问时，最好使用多要素认证（MFA）。

    ● 创建身份与访问管理（IAM）账户，该账户的作用和责任有限，并且仅对有特殊资源需求的账户开放权限。

    ● 有限制的API访问，与源IP更深互动，使用IAM源IP策略限制。

    ● 定期轮换AWS证书，包括密钥、X.509认证以及Keypair。

    ● 在使用AWS管理控制台时，尽量避免和其他网站有互动，只允许安全的互联网浏览行为。

    ● AWS客户还应考虑使用API访问机制而不用SAOP，如REST/Query。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。