余波未平,暗潮又起的nsa武器攻击事件给整个IT业都带来了巨大的危机感。
这段时间也看到了各云厂商,绝大多数是提供公有云服务的,从基础设施虚拟化到容器微服务领域都有,纷纷强调了自家的安全能力。
其实,类似本次SAMBA漏洞的这种通用软件级漏洞得益于官方与行业内众多力量的聚集,预先防护与应急响应在云厂商处都尤为迅速。
而各家自己开发的应用/系统,如云管平台、用户接口、SaaS业务、为客户建设的私有云、细分领域内的云服务内容等的安全状况则没那么乐观。讲究敏捷的互联网业务模式,对近年扩张迅速的云计算行业同样提出了快速迭代的要求,业务与市场至上,安全同样不能忽视。以前讲传统安全的时候,说先除开大厂不谈,有的企业没有或有薄弱的安全支撑,稍好一点的请外部安全公司/团队进行安全评估、参与众测,更好一点的从需求开始贯彻SDL、定期攻防演练等等。但对云计算厂商而言,提供的云服务、云资产都是用户的业务命脉,如果不能提供应对各种场景的强大安全能力,考虑到安全木桶的每一个细节,如何能使用户放心地将业务上云呢。
尽管现在云上的安全责任应由云服务提供者与用户共同承担,如这周看到的某公有云厂商给出的用户等保测评指南,将责任划分写得很清楚。笔者也经历过云数据中心级的等保测评,看了这份指南不得不感慨一句真牛,真能为有资质测评需要的用户省不少心。
当然安全测评和实际面临的安全威胁间是有距离的,就不展开了,之后可能会专门写一篇那些和云计算有关的安全资质的文章。
因为私有SRC隐藏了不少信息,笔者只通过互联网可查的公开漏洞信息,对这两年和云有关的漏洞用 selenium 和 bs4 进行了简单爬取,既有专业的云服务提供者,也有不当/危险的云上业务场景。
重要:以下信息可直接通过补天平台、漏洞盒子和去年7.20前存在的那个它的公共查询功能查到。为了避免影响厂商利益,通过简单的正则做了mask。
延伸阅读
- ssh框架 2016-09-30
- 阿里移动安全 [无线安全]玩转无线电——不安全的蓝牙锁 2017-07-26
- 消息队列NetMQ 原理分析4-Socket、Session、Option和Pipe 2024-03-26
- Selective Search for Object Recognition 论文笔记【图片目标分割】 2017-07-26
- 词向量-LRWE模型-更好地识别反义词同义词 2017-07-26
- 从栈不平衡问题 理解 calling convention 2017-07-26
- php imagemagick 处理 图片剪切、压缩、合并、插入文本、背景色透明 2017-07-26
- Swift实现JSON转Model - HandyJSON使用讲解 2017-07-26
- 阿里移动安全 Android端恶意锁屏勒索应用分析 2017-07-26
- 集合结合数据结构来看看(二) 2017-07-26
学习是年轻人改变自己的最好方式