本文是云安全技術(shù)系列文章的第五篇，我們將集中討論遠程管理解決方案中有關(guān)憑證缺乏、協(xié)議風(fēng)險和實現(xiàn)缺陷對基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）的威脅。

到目前為止，我們已經(jīng)討論了來自操作系統(tǒng)的安全威脅，及其對Iaas服務(wù)的影響，我們可以通過遠程管理機制處理威脅。通常，遠程管理選項包括虛擬私有網(wǎng)絡(luò)（VPN）、遠程桌面、遠程Shell和Web控制臺用戶界面（UI）。我們正在討論的IaaS是有美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會定義的，IaaS的定義如下：

“為用戶提供計算、存儲、網(wǎng)絡(luò)和其它基礎(chǔ)計算資源，用戶可以在上面部署和運行任意的軟件，包括操作系統(tǒng)和應(yīng)用程序，用戶不用管理和控制底層基礎(chǔ)設(shè)施，但要控制操作系統(tǒng)、存儲、部署應(yīng)用程序和對網(wǎng)絡(luò)組件（如主機防火墻）有限的控制”。

正如之前的文章中談到的，對IaaS的威脅也包括那些與SaaS和PaaS相關(guān)的威脅。

IaaS遠程管理選項

根據(jù)定義，IaaS資源在遠端，因此你需要某些遠程管理機制，最常用的遠程管理機制包括：

VPN：提供一個到IaaS資源的安全連接（如隧道），通常在遠程管理應(yīng)用程序不能保護其傳輸?shù)臄?shù)據(jù)時使用，最常見的解決方案包括PPTP（點到點隧道協(xié)議），L2TP（二層隧道協(xié)議），IPSEC（Internet協(xié)議安全）或SSL/TLS（安全套接字層或傳輸協(xié)議安全）。

遠程桌面：為圖形界面工具提供了一個接口，通常在操作系統(tǒng)本身不支持基于命令行的管理時使用（如Windows操作系統(tǒng)），最常見的解決方案是Windows遠程桌面或虛擬網(wǎng)絡(luò)計算機（VNC）。

遠程Shell：為系統(tǒng)管理提供基于命令行的接口，這種環(huán)境的性能是最好的，最常見的解決方案是SSH。

Web控制臺UI：提供一個自定義遠程管理界面，通常它是由云服務(wù)提供商開發(fā)的自定義界面（如管理亞馬遜AWS服務(wù)的RightScale界面）。

通用威脅

缺乏憑證是上述遠程管理解決方案的主要威脅，弱認(rèn)證大多是由于缺少憑證，這是信息暴露在互聯(lián)網(wǎng)上最常見的方式，在本系列的第二篇文章中已經(jīng)討論過弱憑證問題，這些問題在IaaS中同樣存在，使用重復(fù)使用的用戶名和密碼或長期共享的密鑰是遠程管理解決方案目前面臨的主要威脅，必須得到解決。

其它兩個主要威脅

其它影響遠程管理解決方案的主要威脅是協(xié)議相關(guān)的缺陷和實現(xiàn)缺陷，這些風(fēng)險都?xì)w咎于漏洞，至于協(xié)議風(fēng)險，我們要談?wù)撓旅孢@些不同的服務(wù)類型：

VPN：在這個時候，協(xié)議主要是理論上的風(fēng)險，雖然它是經(jīng)常討論的對象，但非實驗環(huán)境中的攻擊還是非常罕見的，緩解協(xié)議風(fēng)險的唯一辦法是改變協(xié)議（如IPSEC over PPTP），或者是升級到打過補丁的協(xié)議版本（如SSL v3或TLS v1，TLS v2）。

遠程桌面：有兩個主要的遠程桌面協(xié)議，一個是RDP（遠程桌面協(xié)議），微軟的遠程桌面就是使用的它，另一個是終端服務(wù)客戶端和RFB（遠程幀緩沖），著名的遠程控制軟件VNC就是使用的它，據(jù)我所知，這兩個協(xié)議的最新版本仍然存在安全風(fēng)險，最好的辦法就是在一個安全通道內(nèi)運行它們（如VPN）。

遠程Shell：目前廣泛使用的遠程sell協(xié)議是SSH和Telnet，Telnet是不安全的，不應(yīng)該在云中使用，但SSH的最新版本是安全的。

Web控制臺：通常，基于Web的協(xié)議是HTTP或基于SSL/TLS的HTTP，因此HTTP或SSL/TLS的威脅一樣威脅著Web控制臺。

如何緩解這些威脅

現(xiàn)在你已經(jīng)知道問題的存在了，下面是緩解這些威脅的一些個人建議：

1.緩解認(rèn)證威脅的最佳辦法是使用雙因子認(rèn)證，或使用動態(tài)共享密鑰，或者縮短共享密鑰的共享期，你可能需要找服務(wù)提供商協(xié)商才能正確獲得這個功能，但這個努力還是值得的。

2.不要依賴于可重復(fù)使用的用戶名和密碼。

3.確保安全補丁及時打上。

4.對于下面這些程序：

SSH：使用RSA密鑰進行認(rèn)證。

微軟的遠程桌面：使用強加密，并要求服務(wù)器認(rèn)證。

VNC：在SSH或SSL/TLS隧道上運行它。

Telnet：不要使用它，如果你必須使用它，最好通過VPN使用。

5.對于自身無法保護傳輸數(shù)據(jù)安全的程序，你應(yīng)該使用VPN或安全隧道（SSL/TLS或SSH），我推薦首先使用IPSEC，然后是SSLv3或TLSv1。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： ssl 安全 大數(shù)據(jù) 防火墻 服務(wù)器 互聯(lián)網(wǎng) 漏洞 網(wǎng)絡(luò) 云服務(wù) 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。