科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道如何安全地使用IaaS云计算服务?

如何安全地使用IaaS云计算服务?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文是云安全技术系列文章的第五篇,我们将集中讨论远程管理解决方案中有关凭证缺乏、协议风险和实现缺陷对基础设施即服务(Infrastructure as a Service,IaaS)的威胁。Web控制台UI:提供一个自定义远程管理界面,通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。

来源:计世网 2010年1月12日

关键字: 安全 云计算

  • 评论
  • 分享微博
  • 分享邮件

  本文是云安全技术系列文章的第五篇,我们将集中讨论远程管理解决方案中有关凭证缺乏、协议风险和实现缺陷对基础设施即服务(Infrastructure as a Service,IaaS)的威胁。

  到目前为止,我们已经讨论了来自操作系统的安全威胁,及其对Iaas服务的影响,我们可以通过远程管理机制处理威胁。通常,远程管理选项包括虚拟私有网络(VPN)、远程桌面、远程Shell和Web控制台用户界面(UI)。我们正在讨论的IaaS是有美国国家标准和技术协会定义的,IaaS的定义如下:

  “为用户提供计算、存储、网络和其它基础计算资源,用户可以在上面部署和运行任意的软件,包括操作系统和应用程序,用户不用管理和控制底层基础设施,但要控制操作系统、存储、部署应用程序和对网络组件(如主机防火墙)有限的控制”。

  正如之前的文章中谈到的,对IaaS的威胁也包括那些与SaaS和PaaS相关的威胁。

  IaaS远程管理选项

  根据定义,IaaS资源在远端,因此你需要某些远程管理机制,最常用的远程管理机制包括:

  VPN:提供一个到IaaS资源的安全连接(如隧道),通常在远程管理应用程序不能保护其传输的数据时使用,最常见的解决方案包括PPTP(点到点隧道协议),L2TP(二层隧道协议),IPSEC(Internet协议安全)或SSL/TLS(安全套接字层或传输协议安全)。

  远程桌面:为图形界面工具提供了一个接口,通常在操作系统本身不支持基于命令行的管理时使用(如Windows操作系统),最常见的解决方案是Windows远程桌面或虚拟网络计算机(VNC)。

  远程Shell:为系统管理提供基于命令行的接口,这种环境的性能是最好的,最常见的解决方案是SSH。

  Web控制台UI:提供一个自定义远程管理界面,通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。

  通用威胁

  缺乏凭证是上述远程管理解决方案的主要威胁,弱认证大多是由于缺少凭证,这是信息暴露在互联网上最常见的方式,在本系列的第二篇文章中已经讨论过弱凭证问题,这些问题在IaaS中同样存在,使用重复使用的用户名和密码或长期共享的密钥是远程管理解决方案目前面临的主要威胁,必须得到解决。

  其它两个主要威胁

  其它影响远程管理解决方案的主要威胁是协议相关的缺陷和实现缺陷,这些风险都归咎于漏洞,至于协议风险,我们要谈论下面这些不同的服务类型:

  VPN:在这个时候,协议主要是理论上的风险,虽然它是经常讨论的对象,但非实验环境中的攻击还是非常罕见的,缓解协议风险的唯一办法是改变协议(如IPSEC over PPTP),或者是升级到打过补丁的协议版本(如SSL v3或TLS v1,TLS v2)。

  远程桌面:有两个主要的远程桌面协议,一个是RDP(远程桌面协议),微软的远程桌面就是使用的它,另一个是终端服务客户端和RFB(远程帧缓冲),著名的远程控制软件VNC就是使用的它,据我所知,这两个协议的最新版本仍然存在安全风险,最好的办法就是在一个安全通道内运行它们(如VPN)。

  远程Shell:目前广泛使用的远程sell协议是SSH和Telnet,Telnet是不安全的,不应该在云中使用,但SSH的最新版本是安全的。

  Web控制台:通常,基于Web的协议是HTTP或基于SSL/TLS的HTTP,因此HTTP或SSL/TLS的威胁一样威胁着Web控制台。

  如何缓解这些威胁

  现在你已经知道问题的存在了,下面是缓解这些威胁的一些个人建议:

  1.缓解认证威胁的最佳办法是使用双因子认证,或使用动态共享密钥,或者缩短共享密钥的共享期,你可能需要找服务提供商协商才能正确获得这个功能,但这个努力还是值得的。

  2.不要依赖于可重复使用的用户名和密码。

  3.确保安全补丁及时打上。

  4.对于下面这些程序:

  SSH:使用RSA密钥进行认证。

  微软的远程桌面:使用强加密,并要求服务器认证。

  VNC:在SSH或SSL/TLS隧道上运行它。

  Telnet:不要使用它,如果你必须使用它,最好通过VPN使用。

  5.对于自身无法保护传输数据安全的程序,你应该使用VPN或安全隧道(SSL/TLS或SSH),我推荐首先使用IPSEC,然后是SSLv3或TLSv1。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章