赞
踩
在我们讨论和分析基于云的系统之前,我们需要了解一些基本术语和概念。在本节中,我们将讨论教科书中使用的一系列术语。您应该注意,在真实的云系统中,某些术语可能有所不同,但概念是相同的。您应该在之前的单元中遇到过大多数这些概念。教科书阅读中的图 6.3 展示了这些概念之间的关系。
参考资料
威胁代理是威胁的人类或软件来源。威胁可以由人工发起,也可以由程序重复尝试对许多不同系统应用攻击。威胁代理可以是内部的或外部的。
有几种类型的威胁代理。教科书确定了本节剩余部分描述的威胁代理。请注意,有时会使用其他术语来描述相同的代理类型。
参考资料
基础云安全
活动 7
阅读教材第 6.2 节第 121-124 页,然后回答以下问题:
云威胁和漏洞
云系统中有几种常见的威胁和漏洞,我们将在本节中查看这些威胁,留下对策到稍后。
参考资料
基础云安全
活动 8
1.解释窃听和恶意中间人攻击之间的区别:
- 窃听攻击是指未经授权的代理检查数据流量的过程。这种攻击通常是只读的,不修改数据。例如,黑客可能在网络上截取通过未加密连接发送的电子邮件。
- 恶意中间人攻击是指拦截并修改消息,然后将修改后的消息传递给目标,目标可能不知道消息已被篡改。例如,黑客可能拦截在线银行交易,修改收款人的账户信息,然后将修改后的交易信息发送给银行。
2.为什么有人会发动拒绝服务攻击?
拒绝服务(DoS)攻击的目的通常是使目标系统无法正常运行,从而导致服务中断。攻击者可能有各种动机,包括政治动机、金钱动机或纯粹的恶作剧。有时候,DoS攻击也可以作为一种策略,以便达到其他更具体的目标,比如勒索。
3.能想到一个授权不足攻击的例子吗?考虑一下你对学生访问。
假设学生在学校网站上只被授权查看他们自己的成绩单。一名学生可能试图通过修改网站URL来访问其他学生的成绩信息。这种未经授权的访问尝试就是授权不足攻击的一个例子。
4.虚拟化攻击非常技术性,但你能解释一下如何发动这种攻击吗?通过一个例子。
虚拟化攻击是指利用云计算基础设施中虚拟化技术的漏洞或弱点进行攻击。例如,攻击者可能利用虚拟化平台的漏洞,通过一个虚拟机访问另一个虚拟机上的敏感数据,而这两个虚拟机在同一物理服务器上运行。攻击者可能会利用虚拟机监控程序(hypervisor)的漏洞或虚拟机之间的共享资源来实施这种攻击。
5.什么是更高级别(非虚拟化)的攻击的例子?
更高级别的攻击可能包括社会工程攻击、恶意软件攻击、网络钓鱼攻击等。例如,通过欺骗用户提供其凭据的方式来实施的网络钓鱼攻击就是一种非虚拟化的攻击。
身份和访问管理(IAM)用于控制对云和其他资源的访问。以下是教材中识别的四个主要组件:
IAM 机制允许其用户将策略和控制分配给特定资源。这使得 IAM 用户可以对云资源进行精细的管理。
在使用互联网时,您将会遇到记住许多用户名和密码的问题。在许多帐户上使用相同的密码是一个安全问题,因为一旦一个帐户被入侵,所有帐户都会变得容易受到攻击。另一方面,记住许多不同的密码和帐户名是不可能的。写下帐户名和密码是一个安全问题。单点登录(SSO)允许一个云代理使用一组凭据登录多个 IT 系统,包括云服务。
SSO 本身并不能完全解决前面部分提到的安全问题。如果 SSO 凭据被泄露,那么攻击者就可以访问所有聚合在 SSO 凭据下的帐户。但是,SSO 有许多可用性优势,这可能导致 SSO 凭据比许多单独登录更安全。
安全组是一种安全机制,用户属于一个或多个组,这些组只被允许访问被该组标记为可访问的 IT 资源。作为一个简单的例子,Unix 操作系统为系统中的每个文件分配了三个安全级别。用户、组和全局访问,其中用户是文件的所有者,分配了组的用户可以访问文件,全局访问适用于所有用户。基于云的系统更复杂,因为在基于云的系统中存在重叠的信任边界。在多租户应用程序中,所有用户都可以访问系统文件,但只有个别客户端组才能访问自己的数据。
在基于云的系统中,我们使用分段的概念来分隔用户和组。分段可以在低级别使用,例如在机器虚拟化和网络分段中。它也可以应用在更高级别,例如数据分段和多租户系统中。
基于云的安全组也可以以层次结构方式应用。从云提供商的角度来看,云客户是一个安全组。但是,云客户可以为客户的不同用户分配不同的安全组。IAM 系统(见上文)被设计成允许用户这样做。
加固的虚拟服务器镜像(Hardened Virtual Server Image)
加固的虚拟服务器是一种经过验证的系统镜像,可以部署到虚拟机中。当我们说“经过验证”时,我们指的是云提供商在多次部署中使用了此镜像,或者对此镜像进行了广泛的测试。这意味着任何安全或其他故障都已通过解决和解决出现的问题而消除。这样的镜像将具有某些软件版本,应用了某些补丁,并具有已知的配置。
加固的虚拟服务器镜像的优势在于客户和云提供商可以确信该镜像将按照规定的方式执行。该镜像将根据先前提到的所有攻击进行测试。例如,当我们在实验室会话中创建 Amazon EC2 实例时,Unix 版本是由亚马逊配置的某个 Unix 版本,并安装了某些 Unix 软件的版本。由于该镜像被“加固”,因此它将不包含在完整的 Unix 发行版中可用的所有软件。
活动 9
阅读链接(AWS IAM,Cloudflare IAM)然后回答以下问题:
1.IAM 系统中认证和授权之间的区别:
- 认证(Authentication)是确认用户身份的过程,验证用户是否具有访问权限。它验证用户的身份,以确定用户是谁。
- 授权(Authorization)是在用户经过认证后,确定用户可以访问哪些资源和执行哪些操作的过程。它确定用户具有的权限和访问级别。
2.IAM 系统中用户管理和凭证管理之间的区别:
- 用户管理(User Management)涉及创建、修改和删除用户账户,以及分配用户的权限和角色。它负责处理用户的身份和权限。
- 凭证管理(Credential Management)管理用户用于身份验证的凭据,如用户名、密码、数字证书等。它负责确保凭证的安全性和有效性。
3.为什么 SSO 不能完全解决与凭证相关的安全问题?
尽管单点登录(SSO)可以简化用户的登录过程,但它并不能解决所有与凭证相关的安全问题。如果单点登录的凭证被泄露,攻击者就可以访问与该凭证相关联的所有帐户,从而造成严重的安全风险。因此,虽然SSO提供了方便,但在安全性方面仍然需要其他层面的保护措施。
4.考虑作业提交系统。哪些安全组是必要的?
在作业提交系统中,以下安全组可能是必要的:
1. 学生组:用于管理学生账户和权限,确保他们只能访问他们自己的作业和相关资源。
2. 教师组:用于管理教师账户和权限,使他们能够查看和评估学生提交的作业。
3. 管理员组:拥有最高权限,用于管理系统整体配置、用户账户和权限设置等。
5.为什么加固的虚拟服务器镜像比通常的最新系统发行版安装了更少的软件?
加固的虚拟服务器镜像通常经过了严格的安全审查和测试,只安装了最必要的软件和组件,以减少系统的攻击面。相比之下,通常的最新系统发行版可能会安装许多预装软件和组件,其中一些可能是不必要的或潜在的安全风险。因此,加固的虚拟服务器镜像相对更安全,因为它们减少了潜在的攻击向量,并且已经针对已知的漏洞和风险进行了防护。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。