V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
saycloud
V2EX  ›  云计算

云计算到底安全不安全,我还是喜欢动手试一试!

  •  
  •   saycloud · 2017-03-20 20:19:14 +08:00 · 1947 次点击
    这是一个创建于 2806 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前些日子,有乐的一条微博,让 @左耳朵耗子和 @云舒两位大神开始在微博上讨论阿里云的内网安全问题,其中讨论到了阿里云目前的安全组的问题和 vpc 的问题,后来,也有不同的人开始讨论云计算的安全问题。如今,事件渐渐平息,人们也不再讨论关于安全的问题。但是,安全问题到底是否存在,我决定自己动手试一试,看看内网安全的问题是否已经解决。

    两位大神在自己的文章中提到了安全组、 VPC 等术语,这里就不再赘述。不明白的朋友可以去看下两位大神的讨论,收益良多。

    如何测试

    这里我主要测试多日前两位大神提到的网络互通的问题,是否已经解决。

    开始测试

    阿里云

    创建云主机

    阿里云

    吸收了之前事件的教训后,阿里云目前创建新的云主机只提供了专有网络,以避免用户在使用时误选经典网络,而出现可能的安全问题。

    但是对于老的用户来说,依然可以选择经典网络,而且是默认经典网络!,不过对于部分地域,已经完全禁止了经典网络的选择。只能选择专有网络。

    经典网络内网测试

    我找了一个老用户,让他帮我执行了一下内网测试的命令,结果让我大吃一惊。

    通过一条命令,我们扫描到了大量的其他用户的 IP 核端口信息,

     nmap -v -sT  10.28.185.32/24
    

    当然,还有更多的数据没有展示出来,如果你有兴趣,也可以使用这样的命令,来扫描你的整个 C 段,看看是否能够扫描到如此多的开放端口。设身处地,如果我们可以扫描到别人的主机,那别人呢?

    内网测试

    当我们扫到了内网的 IP 和端口,我们就可以针对用户进行定点爆破。特别是我们扫到了一些开启 6389 端口的主机,这些主机有很多是没有密码的,我们很轻松的就登录了上去。如果是心怀恶意的黑客,怕是数据已经不保了。

    对于普通的经典网络,我们建议大家,认真检查自己的安全组信息,尽可能的选择单个 IP 的授权模式,而非默认的安全组设置。毕竟,默认的内网安全组为空,也就是说,任何人都可以通过内网来访问你的网络

    做互联网的诸位可能都有所耳闻,近半年来,常有 Redis 、 MongoDB 的集群由于内网没有隔离开,被其他用户攻击、清空数据。同时,很多用户的安全组配置等都只为外网设计规则,而忽略了内网的安全。如果内网隔离,倒也无恙,如果是没有隔离开的网络,怕是有被删数据敲诈的风险

    阿里云经典网络默认安全组配置

    对于可以使用经典网络的老用户来说,还是有必要花时间,好好的再整理下自己的安全组,不要因为内网问题后院起火。

    此测试机位于阿里云的香港 B 区,也是广大网友们十分喜欢的节点和可用区。

    专有网络内网测试

    我们自己创建了一个专有网络的机子,来试试,专有网络能否搜索到其他用户的机子。

    我们执行了同样的命令

    nmap -v -sT 172.17.23.213/24
    

    这一次,我们没有成功的拿到其他用户的端口信息,专有网络的安全性,为我们提供了保障。

    腾讯云

    创建云主机

    腾讯云

    腾讯云在创建云主机时,默认依然是基础网络,如果按照两位大神说的,基础网络应该是内网互通的,等下我们测试看一下.

    基础网络内网测试

    在腾讯云进行内网 NMAP 扫描时,我们没有成功拿到端口信息。

    腾讯云基础网络

    可见腾讯云的内网安全做的还是相当到位的。

    不同租户内网不互通,我们可以放心的使用。

    私有网络内网测试

    腾讯云的私有网络如果想要使用,先要手动创建私有网络

    腾讯云私有网络

    固然麻烦,但其自定义让我们获得了极大的自由。

    被猜到内网的可能性大大的降低。

    私有网络内网

    其实到这里,我已经不认为可以进行内网互通了。不过出于严谨的态度,我依然进行了测试。

    安全组

    正如我所预料,私有网络下扫描没有什么结果

    腾讯云私有网络

    对于用户来说,这种模式已经足够安全。

    小结

    经过我们的测试,腾讯云的内网的网络安全由于做了强制的隔离,用户可以无脑的使用,而无需担心跨租户的安全问题。而阿里云的新用户也无需担心内网安全问题,你们默认也是专有网络。老用户们就要用点心,以免出现问题。

    不过话说回来,安全不止是服务商的事情,当然也是我们自己的事情,即便是服务商计算提供了安全的服务,我们也要对我们自己的安全负责,合理设置安全组,避免安全风险非常重要。

    skylancer
        1
    skylancer  
       2017-03-21 11:27:46 +08:00
    我就不说某云员工价都比经销商价要贵的事了,啧啧

    另外这个推广帖 0 分
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2387 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:01 · PVG 00:01 · LAX 08:01 · JFK 11:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.