余波未平,暗潮又起的nsa武器攻擊事件給整個IT業(yè)都帶來了巨大的危機感。

這段時間也看到了各云廠商,絕大多數(shù)是提供公有云服務的,從基礎(chǔ)設施虛擬化到容器微服務領(lǐng)域都有,紛紛強調(diào)了自家的安全能力。

其實,類似本次SAMBA漏洞的這種通用軟件級漏洞得益于官方與行業(yè)內(nèi)眾多力量的聚集,預先防護與應急響應在云廠商處都尤為迅速。

而各家自己開發(fā)的應用/系統(tǒng),如云管平臺、用戶接口、SaaS業(yè)務、為客戶建設的私有云、細分領(lǐng)域內(nèi)的云服務內(nèi)容等的安全狀況則沒那么樂觀。講究敏捷的互聯(lián)網(wǎng)業(yè)務模式,對近年擴張迅速的云計算行業(yè)同樣提出了快速迭代的要求,業(yè)務與市場至上,安全同樣不能忽視。以前講傳統(tǒng)安全的時候,說先除開大廠不談,有的企業(yè)沒有或有薄弱的安全支撐,稍好一點的請外部安全公司/團隊進行安全評估、參與眾測,更好一點的從需求開始貫徹SDL、定期攻防演練等等。但對云計算廠商而言,提供的云服務、云資產(chǎn)都是用戶的業(yè)務命脈,如果不能提供應對各種場景的強大安全能力,考慮到安全木桶的每一個細節(jié),如何能使用戶放心地將業(yè)務上云呢。

盡管現(xiàn)在云上的安全責任應由云服務提供者與用戶共同承擔,如這周看到的某公有云廠商給出的用戶等保測評指南,將責任劃分寫得很清楚。筆者也經(jīng)歷過云數(shù)據(jù)中心級的等保測評,看了這份指南不得不感慨一句真牛,真能為有資質(zhì)測評需要的用戶省不少心。

當然安全測評和實際面臨的安全威脅間是有距離的,就不展開了,之后可能會專門寫一篇那些和云計算有關(guān)的安全資質(zhì)的文章。

因為私有SRC隱藏了不少信息,筆者只通過互聯(lián)網(wǎng)可查的公開漏洞信息,對這兩年和云有關(guān)的漏洞用 selenium  bs4 進行了簡單爬取,既有專業(yè)的云服務提供者,也有不當/危險的云上業(yè)務場景。

重要:以下信息可直接通過補天平臺、漏洞盒子和去年7.20前存在的那個它的公共查詢功能查到。為了避免影響廠商利益,通過簡單的正則做了mask。

        		
延伸閱讀

        		
        		
        		學習是年輕人改變自己的最好方式-Java培訓,做最負責任的教育,學習改變命運,軟件學習,再就業(yè),大學生如何就業(yè),幫大學生找到好工作,lphotoshop培訓,電腦培訓,電腦維修培訓,移動軟件開發(fā)培訓,網(wǎng)站設計培訓,網(wǎng)站建設培訓學習是年輕人改變自己的最好方式