雖然研究人員稱(chēng)他們已將這些安全漏洞告知了AWS，而且AWS已經(jīng)修復(fù)了這些漏洞，但他們認(rèn)為同樣類(lèi)型的攻擊針對(duì)其他的云服務(wù)同樣有效，“因?yàn)橄嚓P(guān)的Web服務(wù)標(biāo)準(zhǔn)無(wú)法匹配性能和安全。”

德國(guó)波鴻魯爾大學(xué)的一個(gè)研究團(tuán)隊(duì)利用多種XML簽名封裝攻擊獲取了不少客戶(hù)賬號(hào)的管理員權(quán)限，然后可以創(chuàng)建客戶(hù)云的新實(shí)例，可以添加鏡像或刪除鏡像。在另一個(gè)場(chǎng)合中，研究人員還利用跨站腳本攻擊了開(kāi)源的私有云軟件框架Eucalyptus.

他們還發(fā)現(xiàn)亞馬遜的服務(wù)也容易受到跨站腳本攻擊。

“這不光是亞馬遜的問(wèn)題，”研究人員之一的Juraj Somorovsky說(shuō)。“這些攻擊都是些很普通的攻擊類(lèi)型。這說(shuō)明公有云并不像表面看上去那么安全。這些問(wèn)題在其他云架構(gòu)中也能夠發(fā)現(xiàn)。”

Somorovsky稱(chēng)，他們正在開(kāi)發(fā)一個(gè)高性能庫(kù)，再配以XML安全，便可消除可能被XML簽名封裝攻擊利用的弱點(diǎn)。這項(xiàng)工作會(huì)在明年的某個(gè)時(shí)候完成。AWS承認(rèn)存在簽名封裝攻擊的可能性，并稱(chēng)已經(jīng)與魯爾大學(xué)合作改正了他們所發(fā)現(xiàn)的問(wèn)題。AWS的一位發(fā)言人在郵件中稱(chēng)，“目前還沒(méi)有客戶(hù)受到影響。必須指出，這一潛在漏洞只涉及授權(quán)AWS API調(diào)用的很小一部分，而且只是非SSL端點(diǎn)調(diào)用的那部分，并非像報(bào)道所稱(chēng)的是一個(gè)可能廣泛傳播的漏洞。”

AWS已經(jīng)發(fā)布了最佳實(shí)踐列表，遵循最佳實(shí)踐，客戶(hù)是可以免遭魯爾大學(xué)團(tuán)隊(duì)所發(fā)現(xiàn)的這類(lèi)攻擊和其他類(lèi)型攻擊的。下面就是AWS所發(fā)布的最佳時(shí)間列表：

只使用基于SSL安全的HTTPS端點(diǎn)調(diào)用AWS服務(wù)，確保客戶(hù)端應(yīng)用執(zhí)行適當(dāng)?shù)膶?duì)等認(rèn)證程序。所有AWS API調(diào)用用到非SSL端點(diǎn)的比例極小，而且AWS未來(lái)可能會(huì)不支持非SSL API端點(diǎn)的使用。

在進(jìn)行AWS管理控制臺(tái)訪問(wèn)時(shí)，最好使用多要素認(rèn)證（MFA）。

創(chuàng)建身份與訪問(wèn)管理（IAM）賬戶(hù)，該賬戶(hù)的作用和責(zé)任有限，并且僅對(duì)有特殊資源需求的賬戶(hù)開(kāi)放權(quán)限。

有限制的API訪問(wèn)，與源IP更深互動(dòng)，使用IAM源IP策略限制。

定期輪換AWS證書(shū)，包括密鑰、X.509認(rèn)證以及Keypair.

在使用AWS管理控制臺(tái)時(shí)，盡量避免和其他網(wǎng)站有互動(dòng)，只允許安全的互聯(lián)網(wǎng)瀏覽行為。

AWS客戶(hù)還應(yīng)考慮使用API訪問(wèn)機(jī)制而不用SAOP，如REST/Query.

河南億恩科技股份有限公司(www.zuiquanben.com)始創(chuàng)于2000年，專(zhuān)注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶(hù)提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶(hù)不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900