现在“云”的概念已经深入人心,世界上也涌现了不少云计算服务商。不少人都有一个误区,认为云计算非常安全。其实不然,云也有很多未知的漏洞和不足,毕竟是现在才起源的,所以有很多的不足!
云计算安全是因为服务商大都是牛逼服务商,比如国外的amazon ,google,国内的sina ,baidu ,盛大云 ,阿里云,腾讯所以安全什么都做得很好,基本不会出现不稳定的情况。。
例如s3有一个潜在的安全问题,上传下载的请求基本都是透过域名对外服务的,可以在sdk中看到。
但是如果有人想搞你网站,但你服务器安全做得太牛逼,他实在搞不进去,他就可以尝试获取你服务器的机房位置,猜出你服务器的dns,然后吧dns服务器搞了,指向s3域名到他预置的服务器,。
这时,如果被入侵服务器向s3发出put ,get 请求,轻则access id 泄漏,如果服务器向s3 put 数据库备份文件、甚至网站备份,还可能造成严重后果。。
不要以为这是危言耸听,比如dropbox若客户端是直接向s3请求那么gov随时可以下载到你的片。
另外因为是直接伪造dns 的,ssl加密也是鸡肋的。。
预防:
1.hosts
2.cdn
3.don’t back anything up via s3 until step1 have been done.
4.never excute any archives from s3 server/engine.
5.pay more to your employees for their mouth.
不要被云忽悠了,云是好东西也是个不好的东西.
云计算安全是因为服务商大都是牛逼服务商,比如国外的amazon ,google,国内的sina ,baidu ,盛大云 ,阿里云,腾讯所以安全什么都做得很好,基本不会出现不稳定的情况。。
例如s3有一个潜在的安全问题,上传下载的请求基本都是透过域名对外服务的,可以在sdk中看到。
但是如果有人想搞你网站,但你服务器安全做得太牛逼,他实在搞不进去,他就可以尝试获取你服务器的机房位置,猜出你服务器的dns,然后吧dns服务器搞了,指向s3域名到他预置的服务器,。
这时,如果被入侵服务器向s3发出put ,get 请求,轻则access id 泄漏,如果服务器向s3 put 数据库备份文件、甚至网站备份,还可能造成严重后果。。
不要以为这是危言耸听,比如dropbox若客户端是直接向s3请求那么gov随时可以下载到你的片。
另外因为是直接伪造dns 的,ssl加密也是鸡肋的。。
预防:
1.hosts
2.cdn
3.don’t back anything up via s3 until step1 have been done.
4.never excute any archives from s3 server/engine.
5.pay more to your employees for their mouth.
不要被云忽悠了,云是好东西也是个不好的东西.
No comments:
Post a Comment