`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Леонид Бараш

Безопасность в «облаках» во многом зависит от самих пользователей

0 
 

Ученые из Research Center for Advanced Security (CASED) в Дармштадте открыли основные уязвимости в многочисленных виртуальных машинах, опубликованных заказчиками облачных вычислений на Amazon. Среди 1100 общедоступных образов машин (Amazon Machine Images, AMI), которые используются для предоставления облачных сервисов, около 30% являются уязвимыми, позволяя атакующим манипулировать или компрометировать веб-сервисы или виртуальные инфраструктуры.

Основной причиной этого является небрежное или несущее ошибки управление и развертывание AMI. Ученые из CASED разработали сканер уязвимостей для виртуальных машин, которые создают заказчики для работы на инфраструктуре Amazon. В то время как эксперты в области безопасности занимались в основном аспектами безопасности базовой инфраструктуры облаков и провайдеров, на практике оказалось, что угрозы, вызванные заказчиками при конструировании сервисов, все еще недооценивались или игнорировались. Насколько опасными являются результаты ошибочного поведения заказчиков показал недавний анализ, выполненный исследовательской группой, возглавляемой проф. Ахмад-Реза Садегхи (Ahmad-Reza Sadeghi) из CASED.

Ученые исследовали сервисы, опубликованные заказчиками Amazon Web Services (AWS). Хотя AWS обеспечивает своих заказчиков очень детальными рекомендациями относительно безопасности на своих веб-страницах, ученые обнаружили, что по крайней мере одна треть рассмотренных машин имела некорректную конфигурацию. Команда исследователей могла извлечь такие критические данные, как пароли, ключи шифрования и сертификаты. Взломщики могут использовать такую информацию для управления виртуальными инфраструктурами, манипулирования веб-сервисами или для обхода механизмов безопасности, таких как Secure Shell (SSH).

«Очевидно, что проблема заключается в невнимательности заказчиков, а не в веб-сервисах Amazon. Мы верим, что заказчики других провайдеров облаков подвергают опасности себя и других пользователей, игнорируя или недооценивая рекомендации по безопасности», - подчеркнул проф. Садегхи.

0 
 

Напечатать Отправить другу

Читайте также

проф. Садегхи убил сентенцией: один видете ли тупой пользователь может подвергнуть опасности других непричастных.

А на кой же тогда вообще объявлять о реализации технологии, один из основных атрибутов которой - инкапсуляция пользователей и инфраструктуры?
Пользователи такие тупые, мануалы не читают и подвергают. А мы такие хорошие: всесто того, чтобы мультеплексировать песочницы, пишем подробыне инструкции.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT