余波未平,暗潮又起的nsa武器攻擊事件給整個(gè)IT業(yè)都帶來了巨大的危機(jī)感。

這段時(shí)間也看到了各云廠商,絕大多數(shù)是提供公有云服務(wù)的,從基礎(chǔ)設(shè)施虛擬化到容器微服務(wù)領(lǐng)域都有,紛紛強(qiáng)調(diào)了自家的安全能力。

其實(shí),類似本次SAMBA漏洞的這種通用軟件級漏洞得益于官方與行業(yè)內(nèi)眾多力量的聚集,預(yù)先防護(hù)與應(yīng)急響應(yīng)在云廠商處都尤為迅速。

而各家自己開發(fā)的應(yīng)用/系統(tǒng),如云管平臺(tái)、用戶接口、SaaS業(yè)務(wù)、為客戶建設(shè)的私有云、細(xì)分領(lǐng)域內(nèi)的云服務(wù)內(nèi)容等的安全狀況則沒那么樂觀。講究敏捷的互聯(lián)網(wǎng)業(yè)務(wù)模式,對近年擴(kuò)張迅速的云計(jì)算行業(yè)同樣提出了快速迭代的要求,業(yè)務(wù)與市場至上,安全同樣不能忽視。以前講傳統(tǒng)安全的時(shí)候,說先除開大廠不談,有的企業(yè)沒有或有薄弱的安全支撐,稍好一點(diǎn)的請外部安全公司/團(tuán)隊(duì)進(jìn)行安全評估、參與眾測,更好一點(diǎn)的從需求開始貫徹SDL、定期攻防演練等等。但對云計(jì)算廠商而言,提供的云服務(wù)、云資產(chǎn)都是用戶的業(yè)務(wù)命脈,如果不能提供應(yīng)對各種場景的強(qiáng)大安全能力,考慮到安全木桶的每一個(gè)細(xì)節(jié),如何能使用戶放心地將業(yè)務(wù)上云呢。

盡管現(xiàn)在云上的安全責(zé)任應(yīng)由云服務(wù)提供者與用戶共同承擔(dān),如這周看到的某公有云廠商給出的用戶等保測評指南,將責(zé)任劃分寫得很清楚。筆者也經(jīng)歷過云數(shù)據(jù)中心級的等保測評,看了這份指南不得不感慨一句真牛,真能為有資質(zhì)測評需要的用戶省不少心。

當(dāng)然安全測評和實(shí)際面臨的安全威脅間是有距離的,就不展開了,之后可能會(huì)專門寫一篇那些和云計(jì)算有關(guān)的安全資質(zhì)的文章。

因?yàn)樗接蠸RC隱藏了不少信息,筆者只通過互聯(lián)網(wǎng)可查的公開漏洞信息,對這兩年和云有關(guān)的漏洞用 selenium  bs4 進(jìn)行了簡單爬取,既有專業(yè)的云服務(wù)提供者,也有不當(dāng)/危險(xiǎn)的云上業(yè)務(wù)場景。

重要:以下信息可直接通過補(bǔ)天平臺(tái)、漏洞盒子和去年7.20前存在的那個(gè)它的公共查詢功能查到。為了避免影響廠商利益,通過簡單的正則做了mask。

        		
延伸閱讀

        		
        		
        		學(xué)習(xí)是年輕人改變自己的最好方式-Java培訓(xùn),做最負(fù)責(zé)任的教育,學(xué)習(xí)改變命運(yùn),軟件學(xué)習(xí),再就業(yè),大學(xué)生如何就業(yè),幫大學(xué)生找到好工作,lphotoshop培訓(xùn),電腦培訓(xùn),電腦維修培訓(xùn),移動(dòng)軟件開發(fā)培訓(xùn),網(wǎng)站設(shè)計(jì)培訓(xùn),網(wǎng)站建設(shè)培訓(xùn)學(xué)習(xí)是年輕人改變自己的最好方式