余波未平,暗潮又起的nsa武器攻擊事件給整個(gè)IT業(yè)都帶來(lái)了巨大的危機(jī)感。

這段時(shí)間也看到了各云廠商,絕大多數(shù)是提供公有云服務(wù)的,從基礎(chǔ)設(shè)施虛擬化到容器微服務(wù)領(lǐng)域都有,紛紛強(qiáng)調(diào)了自家的安全能力。

其實(shí),類似本次SAMBA漏洞的這種通用軟件級(jí)漏洞得益于官方與行業(yè)內(nèi)眾多力量的聚集,預(yù)先防護(hù)與應(yīng)急響應(yīng)在云廠商處都尤為迅速。

而各家自己開(kāi)發(fā)的應(yīng)用/系統(tǒng),如云管平臺(tái)、用戶接口、SaaS業(yè)務(wù)、為客戶建設(shè)的私有云、細(xì)分領(lǐng)域內(nèi)的云服務(wù)內(nèi)容等的安全狀況則沒(méi)那么樂(lè)觀。講究敏捷的互聯(lián)網(wǎng)業(yè)務(wù)模式,對(duì)近年擴(kuò)張迅速的云計(jì)算行業(yè)同樣提出了快速迭代的要求,業(yè)務(wù)與市場(chǎng)至上,安全同樣不能忽視。以前講傳統(tǒng)安全的時(shí)候,說(shuō)先除開(kāi)大廠不談,有的企業(yè)沒(méi)有或有薄弱的安全支撐,稍好一點(diǎn)的請(qǐng)外部安全公司/團(tuán)隊(duì)進(jìn)行安全評(píng)估、參與眾測(cè),更好一點(diǎn)的從需求開(kāi)始貫徹SDL、定期攻防演練等等。但對(duì)云計(jì)算廠商而言,提供的云服務(wù)、云資產(chǎn)都是用戶的業(yè)務(wù)命脈,如果不能提供應(yīng)對(duì)各種場(chǎng)景的強(qiáng)大安全能力,考慮到安全木桶的每一個(gè)細(xì)節(jié),如何能使用戶放心地將業(yè)務(wù)上云呢。

盡管現(xiàn)在云上的安全責(zé)任應(yīng)由云服務(wù)提供者與用戶共同承擔(dān),如這周看到的某公有云廠商給出的用戶等保測(cè)評(píng)指南,將責(zé)任劃分寫(xiě)得很清楚。筆者也經(jīng)歷過(guò)云數(shù)據(jù)中心級(jí)的等保測(cè)評(píng),看了這份指南不得不感慨一句真牛,真能為有資質(zhì)測(cè)評(píng)需要的用戶省不少心。

當(dāng)然安全測(cè)評(píng)和實(shí)際面臨的安全威脅間是有距離的,就不展開(kāi)了,之后可能會(huì)專門(mén)寫(xiě)一篇那些和云計(jì)算有關(guān)的安全資質(zhì)的文章。

因?yàn)樗接蠸RC隱藏了不少信息,筆者只通過(guò)互聯(lián)網(wǎng)可查的公開(kāi)漏洞信息,對(duì)這兩年和云有關(guān)的漏洞用 selenium  bs4 進(jìn)行了簡(jiǎn)單爬取,既有專業(yè)的云服務(wù)提供者,也有不當(dāng)/危險(xiǎn)的云上業(yè)務(wù)場(chǎng)景。

重要:以下信息可直接通過(guò)補(bǔ)天平臺(tái)、漏洞盒子和去年7.20前存在的那個(gè)它的公共查詢功能查到。為了避免影響廠商利益,通過(guò)簡(jiǎn)單的正則做了mask。

        		
網(wǎng)友評(píng)論