去年,信息安全顾问Context公司受聘于相当数量的客户进行信息安全调查,这些客户主要是银行和其他高端客户,他们严重关注安全问题,以确定云计算对于他们的计算需求是否是足够安全的。

Context公司研究了四家云服务提供商:亚马逊、Rackspace、VPS.net和Gige NET Cloud.在其中两家云服务供应商的服务中发现许多潜在的安全漏洞,即他们允许访问其他客户遗留的数据。

“我们关注的是未分配的磁盘部分。”Context公司研发部门经理迈克尔。乔丹说。“我们可以进入查看,一些数据。而这些存储在硬盘上的数据并不是我们自己企业的硬盘数据。”

遗留数据甚至包括个人身份信息

乔丹和他的研究团队发现的遗留数据,甚至包括一些个人识别信息,包括客户数据库和系统信息要素,如Linuxshadow文件(包含系统哈希密码)。

乔丹指出,这些信息云服务的典型用户不是很明显,必须努力寻求才能找到。此外,他还补充说,剩下的数据是随机分布的,不会允许恶意用户可以针对特定的客户进行破坏。但那些发现了这些未加密数据的恶意用户可能会使用这些数据进行牟利。

“在审查后一家供应商的全新置备硬盘之后,我们发现了一些有趣的和意想不到的情况。”乔丹和Context首席顾问杰姆斯。福肖在一篇博客中提到了他们的发现。“这涉及到一个安装WordPress和一个MySQL配置,即使没有安装虚拟服务器。”

预计这可能只是一个操作系统映像,创建了第二台虚拟服务器,并以同样的方式进行测试。令人惊讶的是,数据是完全不同的,在这种情况下暴露一个网站的用户数据库,并确定了服务器的数据是来自Apache的日志片段。这证实了数据不是来自我们配置的服务器。

管理程序配置不正确惹的祸

乔丹说,这个问题是与供应商供应新的虚拟服务器,以及他们如何分配新的存储空间的方式有关。在前端,当客户端创建新的虚拟服务器,他们使用的云服务供应商的网站选择操作系统和他们所需要的存储量。

在后端,供应商聚集磁盘空间来包含虚拟影像,然后用一个预配置的OS映像覆盖初始磁盘。

“这意味着,只有初始磁盘充满了初始化数据,其余的磁盘将永远不会被明确写入配置期间。”乔丹和福肖写道。“如果这种分配正在执行使用主机操作系统的文件API,这通常将不是一个问题。操作系统将确保任何未初始化的数据在返回到用户应用程序之前,被自动归零(或在这种情况下的虚拟机)。)显然,在这种情况下,其没有使用这些机制。

乔丹指出,因为这个问题本是配置管理程序的方法,它可能会影响主机托管提供商以及云服务提供商。

两家供应商Rackspace和VPS.net均报告说他们已经针对上述漏洞打了补丁。据说Rackspace公司已经开始与Context公司展开密切合作,以解决这一问题,他们邀请了Context调查人员到其总部,并为他们提供了研究工程师、管理人员和流程执行人员的权限。VPS.net使用了OnApp的技术,OnApp的技术也至少被其他250云服务提供商使用。VPS.net告诉Context说,他们推出了一款补丁解决这个问题。

乔丹指出,如果有企业有强大的业务需求,这个问题不应该妨碍企业使用IaaS.但他建议客户按照最佳实践方案利用云。

“如果您是一家新的客户,您有很多选择。”他说。“您可以确保您的数据在硬盘上是加密的,这样一来,就算有人获得磁盘的某一部分的访问权限,他们也无法看到加密的数据。”

乔丹还建议您多问问您的服务供应商关于他们的流程的问题,包括如何管理程序置备和取消置备的问题。此外,他指出,强化由服务提供商提供的虚拟服务器,包括检查出任何供应商使用管理服务器的后门是客户自己的责任。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-25 21:25:52
云资讯 七年磨一剑,青云QingCloud发力广义云计算
继信息数字化、生活数字化后,产业数字化时代到来,给云计算提出了新的要求:拥有全维云平台能力,覆盖云、边、端构成的全域数字化场景,通过智能网络实现高速的全域连接, <详情>
2019-07-19 18:03:02
云资讯 中国企业云服务商50强揭晓,京东云进入前三
7月17日,2019▪爱分析中国企业云高峰论坛在北京召开,论坛现场揭晓了“2019▪爱分析中国企业云科技服务商50强”榜单。 <详情>
2019-06-24 14:46:44
云技术 机构聚焦云计算:抓住云上增长,非阿里巴巴莫属
“阿里云的天空晴空万里!Blue Skies in the Cloud for Alibaba” 近日,专业财经分析平台Seeking Alpha和Nasdaq接连发文聚焦阿里巴巴的云计算业务,“未来云计算市场规模 <详情>
2019-04-18 10:07:00
国内资讯 IDC、CDN、云服务商如何进行IPv6改造升级?
2019年末,数据中心运营企业完成大型以上数据中心内部网络和出口设备的IPv6改造。 <详情>
2019-02-22 15:29:00
云资讯 2018公有云提供商TOP50
近日,IDC公布了2018年上半年全球公有云的市场份额排名。阿里云作为一家国内公有云企业,位列第三名。 <详情>