中国移动研究院云计算平台 安全评估报告
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动研究院云计算平台 安全评估报告
网络所 2009-08
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全评估背景
当前热点
云计算是当前的研究热点,近今年来国内外知名企业纷纷进行云计 算研究与应用,中国移动也提出了自己的云计算研究战略。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层
网络层
设备层
内部资料 注意保密
网络层评估结果
当前,云计算平台在网络层方面的安全防护措施 主要依据iptable进行访问控制,在网络接入、网 络防护等方面还存在较多不足,主要表现为:
网络接入认证方式存在严重不足 缺乏相应的安全防护设备 网络安全域划分不合理 缺乏对从云计算平台到外部的攻击的控制方面的考虑
存在跨站攻击漏洞 配置不合理,导致敏感信息泄漏 敏感信息明文传输
内部资料 注意保密
(一)跨站漏洞
该用户管理平台在实现时编码不严格,存在跨站漏洞
内部资料 注意保密
跨站漏洞的影响
对公司声誉带来严重的影响。
国内外的很多知名企业的门户网站曾经都出现过跨站 漏洞,并被恶意人员利用,虽然难以对公司造成利益 损失,但会对公司声誉造成很大影响。如果云计算平 台对外提供服务并利用该用户管理平台,则也会面临 恶意人员利用跨站漏洞对公司声誉造成影响的风险。
SNMP缺省口令修改,如不需要建议关闭SNMP服务
网络接入AP “LAB”的加密方式修改为WPA并且增加密码复杂 度
FTP Server、MySQL、DNS、SSH等进行版本升级并合理配 置
Linux系统关闭不需要的服务
内部资料 注意保密
安全改进建议(2/4)
应用层代码修改
云计算用户管理平台、云计算搜索平台的实现代码进 行改进,增强对跨站攻击的过滤。 建议系统开发完成、上线之前,利用代码漏洞分析系 统对代码进行安全审计。 对外提供服务前,利用Web扫描工具进行系统漏洞检 查。
云计算平台网络结构示意图
负载均衡服务器 搜索引擎 应用平台 负载均衡服务器
客户端
数据挖掘 应用平台
大规模实验室 8512交换机
接入研究院试验 室网络(5M)
研究院防火墙
Internet 系统评估 应用平台
防火墙服务器 HugeTable 应用平台 管理节点 接入CNGI网络 (150M)
内部资料 注意保密
内部资料 注意保密
(1)网络接入认证方式存在严重不足
当前在研究院接入云计算平台通过无线AP ”LAB”来接入到 云计算网络中,而“LAB“采用了WEP加密的方式,此种 方式存在严重的脆弱性,可以被恶意人员在几分钟的时间 内破解,从而轻易接入到云计算网络中。如下图所示:
内部资料 注意保密
其他安全漏洞
安全评估目的
对云计算平台的安全评估能够主动了解云计算面临的安全威胁、掌 握目前安全防护存在的不足,从而能够能够更好地保障云计算平台 的安全。 内部资料 注意保密
评估标准和方法
参考标准和规范
参考BS7799、X.805等相关国际规范 中国移动集团公司的相关安全技术规范 2007年信息产业部发布的《通信网和互联网安全防护 规范》 同时考虑中国移动研究院云计算平台的实际情况
(三)敏感信息明文传输
云计算用户管理平台的相关用户帐号、密码登录 信息等在网络上进行明文传输,极容易导致用户 帐号、密码等泄漏。
内部资料 注意保密
应用层评估结果 -云计算搜索服务
云计算搜索服务是云计算平台提供的重要服务, 但是系统实现编码不严格,存在如下漏洞:
跨站漏洞。 目录列出。
内部资料 注意保密
内部资料 注意保密
安全改进建议(3/4)
目前业务提供模式的安全改进
当前对云计算用户提供Linux帐号的业务提供模式,会导致用户利 用一些漏洞轻易获取Linux root权限,并对系统造成破坏。 建议考虑不对用户提供Linux帐号,而只是提供平台帐号,通过平 台代理用户进行任务执行。
云计算BigCloud平台,整合了包含网络资源、用户资源、业务能力资源 等各种资源,并能提供强大的个性化移动互联网信息服务。 HugeTable—高可靠,可伸缩,高性能的海量结构化信息存储系统。 MapReduce—高性能、高可靠的海量数据并行处理平台。 内部资料 注意保密 CloudMaster—云资源监控和管理平台。
600 504 500 400 298 300 204 200 100 2 0 存活主机数 低风险漏洞数 中等风险漏洞数 高风险漏洞数
内部资料 注意保密
系列1
扫描发现的漏洞
系统存在弱口令。一台主机存在root/password弱口令,可以 导致恶意人员登录系统并破坏系统。 FTP Server配置存在严重安全隐患,可以导致跳转攻击,并 且能够匿名FTP登录,存在任意可写目录。 SNMP存在缺省口令。很多主机开启了SNMP服务,并且采 用缺省community字符串,导致泄露主机的关键信息。 MySQL等软件没有进行及时升级,存在严重漏洞。 DNS没有及时升级,并且配置不合理。可以导致多种攻击。 SSH没有及时升级,可以导致恶意人员列举用户名。
内部资料 注意保密
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全问题列表
来源
跨站攻击漏洞 用户管理平台 WEB Server配置不合理 用户帐号、密码明文传输 云计算搜索服务 跨站攻击漏洞 目录列出漏洞 用户轻易获取root权限 缺乏对用户任务的入网检查与审计 云计算平台 网络接入认证方式存在不足 缺乏相应安全防护设备 网络安全域划分不合理 缺乏对从云计算平台到外部的攻击的控制方面的考虑 系统存在弱口令 设备层 FTP Server配置存在严重安全隐患,可以导致跳转攻击 ,并且能够匿名FTP登录,存在任意可写目录 SNMP存在缺省口令 MySQL、DNS、SSH没有及时升级,自身存在严重漏洞
用户身份窃取
利用跨站漏洞恶意人员可以窃取用户身份,对用户会 造成很大影响。如果云计算平台对外提供服务,则目 前的用户管理系统无法保证用户身份的安全。
内部资料 注意保密
(二)配置不合理,导致敏感信息泄漏
用户管理平台的WEB Server配置不合理,导致可以进行 目录列出,并泄漏敏感信息。
内部资料 注意保密
跨站漏洞示例
例如在云计算平台搜索结果中又嵌入云计算搜索引擎:
内部资料 注意保密
搜索服务跨站漏洞影响
云计算搜索引擎中的跨站漏洞不会对系统自身造 成大的影响; 对外提供服务的过程中会对公司声誉造成比较大 的影响; 影响用户的使用体验以及对公司的认可度。
内部资料 注意保密
(二)目录列出
云计算搜索引擎的WEB Server配置不合理,导致可以进 行目录列出,并泄漏敏感信息,如下图所示:
中国移动研究院云计算平台简介
中国移动研究院云计算平台“BigCloud—大云”,是在Hadoop平台基础 上 自主开发的新一代云计算平台。 研发和试验了高效的云系统管理软件和比 较重要的几个应用,目前能够提供的服务包括搜索引擎、数据挖掘、云存储 、大容量数据库、虚拟机服务等。
中国移动通信研究院通过深入研发和试验 HyperDFS、MapReduce、 HugeTable、CloudMaster等云计算平台关键技术,自主搭建了1000个CPU 组成的256节点规模的云计算试验平台,开展系统评估与优化,构建了基于 云计算技术的移动互联网业务海量数据存储和处理试验平台,开展云计算应 用研发和试验。
(一)跨站漏洞
搜索引擎在实现的过程中,代码编写不严格对用户输入的信息没有进 行进行严格的过滤,导致搜索服务平台存在跨站漏洞。跨站漏洞也曾 经在Baidu等搜索引擎中出现过,带来比较大的影响。中国移动云计 算平台搜索引擎跨站漏洞如下图所示,恶意人员通过输入特殊的脚本 可以来控制搜索结果显示,如:
内部资料 注意保密
缺乏相应的安全防护设备
防火墙、IDS等基本的安全防护设备的缺乏,使得云计算平台难以 应对来自互联网的攻击,也无法及时发现来自外界的攻击。
网络安全域划分不合理
云计算平台安全域划分不合理,保存数据的服务器和提供给用户的 服务器等没有存在网络层互访需求的服务器之间并没有采取有效的 措施进行隔离,并对访问进行控制。这样导致,云计算平台的用户 可能会对其他用户或者云计算的核心服务器构成安全威胁。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层
网络层 设备层
内部资料 注意保密
云计算平台系统层 评估结果
用户获取云计算平台帐号后,云计算平台会在服 务器上创建一个相应的系统帐号,用户通过此帐 号可以登录云计算平台服务器。此种服务机制存 在严重的安全风险,主要表现为:
评估方法
人工访谈 手工检查 工具检查
内部资料 注意保密
安全评估目标
分析云计算平台的安全技术现状; 分析云计算平台在应用层、网络层以及设备层存 在的不足; 根据安全现状提出改进安全改进建议;
内部资料 注意保密
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
ຫໍສະໝຸດ Baidu安全改进建议
内部资料 注意保密
用户可以轻易获取root权限 缺乏对用户任务的入网检查与审计
内部资料 注意保密
(一)用户可以轻易获取root权限
由于服务器上的帐号可以获取真实服务器的各种 资源,并能够编写、运行各种程序。这样,用户 就可以通过缓冲区溢出等方式,获取root权限, 从而可以对服务器做各种管理操作,并能够影响 到其他用户。 用户获取root权限如下图所示,测试用户 network_test已经获取了root权限,可以进行各种 操作。
内部资料 注意保密
验证结果图示
内部资料 注意保密
(二)缺乏对用户任务的入网检查与审计
在获取帐号后,用户可以在服务器上运行各种程 序,但是目前缺乏对这些程序的入网检查与代码 审计。用户的程序可能是病毒程序、其他恶意程 序或者攻击他人或者其他服务器的程序,这些程 序的运行可能给云计算平台或者其他用户带来严 重影响。
安全问题十分重要
在云计算应用的过程中,安全问题有着重要的影响,能够可靠、安 全地提供相应的服务一直也是中国移动对网络及业务的基本要求。
领导高度重视
在中国移动研究院在云计算研究与应用的过程中,院领导与相关部 所领导对安全问题高度重视,网络所安全组根据相关领导指示于 2009年7月起对中国移动研究院云计算平台进行了安全评估工作。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层 网络层
设备层
内部资料 注意保密
设备层评估结果
利用开源工具NESSUS,我们对云计算平台的所有网段的 服务器进行了扫描,总共扫描到存活主机504台,低风险 漏洞8137个,中风险漏洞266个,高风险漏洞2个。 存在中等风险漏洞的主机数量为204,占主机总数的比例 为40.5%,存在高风险漏洞的主机数量为2台。
问题
分析
严重 中等 中等 严重 中等 严重 严重 严重 中等 中等 中等 严重 严重 严重
内部资料 中等 注意保密
安全改进建议(1/4) 系统配置加固
根据本次安全评估发现的问题,对系统进行相应的加 固,目前需要尽快实施的方面包括:
用户帐号、口令复杂度符合集团相应的安全配置要求 WEB Server加强安全配置,避免目录列出等问题
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层 网络层 设备层
内部资料 注意保密
应用层评估结果 - 用户管理平台
中国移动研究院云计算平台提供了基于WEB的用 户管理系统,通过http://192.168.33.8/cloud-portal 用户可以进行系统注册,在管理员审批之后用户就 可以使用云计算平台的资源。系统管理员会为新用 户在BigCloud云计算平台开放新的帐户。 用户管理平台主要存在的安全漏洞如下:
缺乏对从云计算平台到外部的攻击的控制方面的考虑
目前的安全防护、安全机制大多都是考虑防护来自外部的安全攻击 ,而在实际运营中,如果用户利用中国移动的云计算平台对互联网 上的其他服务器进行攻击或者发布违法内容等,都会对中国移动的 声誉等造成影响。因此,云计算平台还需要考虑控制从云计算平台 到外部的攻击,需要部署IPS、流量监控等设备来进行相应控制。
网络所 2009-08
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全评估背景
当前热点
云计算是当前的研究热点,近今年来国内外知名企业纷纷进行云计 算研究与应用,中国移动也提出了自己的云计算研究战略。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层
网络层
设备层
内部资料 注意保密
网络层评估结果
当前,云计算平台在网络层方面的安全防护措施 主要依据iptable进行访问控制,在网络接入、网 络防护等方面还存在较多不足,主要表现为:
网络接入认证方式存在严重不足 缺乏相应的安全防护设备 网络安全域划分不合理 缺乏对从云计算平台到外部的攻击的控制方面的考虑
存在跨站攻击漏洞 配置不合理,导致敏感信息泄漏 敏感信息明文传输
内部资料 注意保密
(一)跨站漏洞
该用户管理平台在实现时编码不严格,存在跨站漏洞
内部资料 注意保密
跨站漏洞的影响
对公司声誉带来严重的影响。
国内外的很多知名企业的门户网站曾经都出现过跨站 漏洞,并被恶意人员利用,虽然难以对公司造成利益 损失,但会对公司声誉造成很大影响。如果云计算平 台对外提供服务并利用该用户管理平台,则也会面临 恶意人员利用跨站漏洞对公司声誉造成影响的风险。
SNMP缺省口令修改,如不需要建议关闭SNMP服务
网络接入AP “LAB”的加密方式修改为WPA并且增加密码复杂 度
FTP Server、MySQL、DNS、SSH等进行版本升级并合理配 置
Linux系统关闭不需要的服务
内部资料 注意保密
安全改进建议(2/4)
应用层代码修改
云计算用户管理平台、云计算搜索平台的实现代码进 行改进,增强对跨站攻击的过滤。 建议系统开发完成、上线之前,利用代码漏洞分析系 统对代码进行安全审计。 对外提供服务前,利用Web扫描工具进行系统漏洞检 查。
云计算平台网络结构示意图
负载均衡服务器 搜索引擎 应用平台 负载均衡服务器
客户端
数据挖掘 应用平台
大规模实验室 8512交换机
接入研究院试验 室网络(5M)
研究院防火墙
Internet 系统评估 应用平台
防火墙服务器 HugeTable 应用平台 管理节点 接入CNGI网络 (150M)
内部资料 注意保密
内部资料 注意保密
(1)网络接入认证方式存在严重不足
当前在研究院接入云计算平台通过无线AP ”LAB”来接入到 云计算网络中,而“LAB“采用了WEP加密的方式,此种 方式存在严重的脆弱性,可以被恶意人员在几分钟的时间 内破解,从而轻易接入到云计算网络中。如下图所示:
内部资料 注意保密
其他安全漏洞
安全评估目的
对云计算平台的安全评估能够主动了解云计算面临的安全威胁、掌 握目前安全防护存在的不足,从而能够能够更好地保障云计算平台 的安全。 内部资料 注意保密
评估标准和方法
参考标准和规范
参考BS7799、X.805等相关国际规范 中国移动集团公司的相关安全技术规范 2007年信息产业部发布的《通信网和互联网安全防护 规范》 同时考虑中国移动研究院云计算平台的实际情况
(三)敏感信息明文传输
云计算用户管理平台的相关用户帐号、密码登录 信息等在网络上进行明文传输,极容易导致用户 帐号、密码等泄漏。
内部资料 注意保密
应用层评估结果 -云计算搜索服务
云计算搜索服务是云计算平台提供的重要服务, 但是系统实现编码不严格,存在如下漏洞:
跨站漏洞。 目录列出。
内部资料 注意保密
内部资料 注意保密
安全改进建议(3/4)
目前业务提供模式的安全改进
当前对云计算用户提供Linux帐号的业务提供模式,会导致用户利 用一些漏洞轻易获取Linux root权限,并对系统造成破坏。 建议考虑不对用户提供Linux帐号,而只是提供平台帐号,通过平 台代理用户进行任务执行。
云计算BigCloud平台,整合了包含网络资源、用户资源、业务能力资源 等各种资源,并能提供强大的个性化移动互联网信息服务。 HugeTable—高可靠,可伸缩,高性能的海量结构化信息存储系统。 MapReduce—高性能、高可靠的海量数据并行处理平台。 内部资料 注意保密 CloudMaster—云资源监控和管理平台。
600 504 500 400 298 300 204 200 100 2 0 存活主机数 低风险漏洞数 中等风险漏洞数 高风险漏洞数
内部资料 注意保密
系列1
扫描发现的漏洞
系统存在弱口令。一台主机存在root/password弱口令,可以 导致恶意人员登录系统并破坏系统。 FTP Server配置存在严重安全隐患,可以导致跳转攻击,并 且能够匿名FTP登录,存在任意可写目录。 SNMP存在缺省口令。很多主机开启了SNMP服务,并且采 用缺省community字符串,导致泄露主机的关键信息。 MySQL等软件没有进行及时升级,存在严重漏洞。 DNS没有及时升级,并且配置不合理。可以导致多种攻击。 SSH没有及时升级,可以导致恶意人员列举用户名。
内部资料 注意保密
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全问题列表
来源
跨站攻击漏洞 用户管理平台 WEB Server配置不合理 用户帐号、密码明文传输 云计算搜索服务 跨站攻击漏洞 目录列出漏洞 用户轻易获取root权限 缺乏对用户任务的入网检查与审计 云计算平台 网络接入认证方式存在不足 缺乏相应安全防护设备 网络安全域划分不合理 缺乏对从云计算平台到外部的攻击的控制方面的考虑 系统存在弱口令 设备层 FTP Server配置存在严重安全隐患,可以导致跳转攻击 ,并且能够匿名FTP登录,存在任意可写目录 SNMP存在缺省口令 MySQL、DNS、SSH没有及时升级,自身存在严重漏洞
用户身份窃取
利用跨站漏洞恶意人员可以窃取用户身份,对用户会 造成很大影响。如果云计算平台对外提供服务,则目 前的用户管理系统无法保证用户身份的安全。
内部资料 注意保密
(二)配置不合理,导致敏感信息泄漏
用户管理平台的WEB Server配置不合理,导致可以进行 目录列出,并泄漏敏感信息。
内部资料 注意保密
跨站漏洞示例
例如在云计算平台搜索结果中又嵌入云计算搜索引擎:
内部资料 注意保密
搜索服务跨站漏洞影响
云计算搜索引擎中的跨站漏洞不会对系统自身造 成大的影响; 对外提供服务的过程中会对公司声誉造成比较大 的影响; 影响用户的使用体验以及对公司的认可度。
内部资料 注意保密
(二)目录列出
云计算搜索引擎的WEB Server配置不合理,导致可以进 行目录列出,并泄漏敏感信息,如下图所示:
中国移动研究院云计算平台简介
中国移动研究院云计算平台“BigCloud—大云”,是在Hadoop平台基础 上 自主开发的新一代云计算平台。 研发和试验了高效的云系统管理软件和比 较重要的几个应用,目前能够提供的服务包括搜索引擎、数据挖掘、云存储 、大容量数据库、虚拟机服务等。
中国移动通信研究院通过深入研发和试验 HyperDFS、MapReduce、 HugeTable、CloudMaster等云计算平台关键技术,自主搭建了1000个CPU 组成的256节点规模的云计算试验平台,开展系统评估与优化,构建了基于 云计算技术的移动互联网业务海量数据存储和处理试验平台,开展云计算应 用研发和试验。
(一)跨站漏洞
搜索引擎在实现的过程中,代码编写不严格对用户输入的信息没有进 行进行严格的过滤,导致搜索服务平台存在跨站漏洞。跨站漏洞也曾 经在Baidu等搜索引擎中出现过,带来比较大的影响。中国移动云计 算平台搜索引擎跨站漏洞如下图所示,恶意人员通过输入特殊的脚本 可以来控制搜索结果显示,如:
内部资料 注意保密
缺乏相应的安全防护设备
防火墙、IDS等基本的安全防护设备的缺乏,使得云计算平台难以 应对来自互联网的攻击,也无法及时发现来自外界的攻击。
网络安全域划分不合理
云计算平台安全域划分不合理,保存数据的服务器和提供给用户的 服务器等没有存在网络层互访需求的服务器之间并没有采取有效的 措施进行隔离,并对访问进行控制。这样导致,云计算平台的用户 可能会对其他用户或者云计算的核心服务器构成安全威胁。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层
网络层 设备层
内部资料 注意保密
云计算平台系统层 评估结果
用户获取云计算平台帐号后,云计算平台会在服 务器上创建一个相应的系统帐号,用户通过此帐 号可以登录云计算平台服务器。此种服务机制存 在严重的安全风险,主要表现为:
评估方法
人工访谈 手工检查 工具检查
内部资料 注意保密
安全评估目标
分析云计算平台的安全技术现状; 分析云计算平台在应用层、网络层以及设备层存 在的不足; 根据安全现状提出改进安全改进建议;
内部资料 注意保密
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
ຫໍສະໝຸດ Baidu安全改进建议
内部资料 注意保密
用户可以轻易获取root权限 缺乏对用户任务的入网检查与审计
内部资料 注意保密
(一)用户可以轻易获取root权限
由于服务器上的帐号可以获取真实服务器的各种 资源,并能够编写、运行各种程序。这样,用户 就可以通过缓冲区溢出等方式,获取root权限, 从而可以对服务器做各种管理操作,并能够影响 到其他用户。 用户获取root权限如下图所示,测试用户 network_test已经获取了root权限,可以进行各种 操作。
内部资料 注意保密
验证结果图示
内部资料 注意保密
(二)缺乏对用户任务的入网检查与审计
在获取帐号后,用户可以在服务器上运行各种程 序,但是目前缺乏对这些程序的入网检查与代码 审计。用户的程序可能是病毒程序、其他恶意程 序或者攻击他人或者其他服务器的程序,这些程 序的运行可能给云计算平台或者其他用户带来严 重影响。
安全问题十分重要
在云计算应用的过程中,安全问题有着重要的影响,能够可靠、安 全地提供相应的服务一直也是中国移动对网络及业务的基本要求。
领导高度重视
在中国移动研究院在云计算研究与应用的过程中,院领导与相关部 所领导对安全问题高度重视,网络所安全组根据相关领导指示于 2009年7月起对中国移动研究院云计算平台进行了安全评估工作。
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层 网络层
设备层
内部资料 注意保密
设备层评估结果
利用开源工具NESSUS,我们对云计算平台的所有网段的 服务器进行了扫描,总共扫描到存活主机504台,低风险 漏洞8137个,中风险漏洞266个,高风险漏洞2个。 存在中等风险漏洞的主机数量为204,占主机总数的比例 为40.5%,存在高风险漏洞的主机数量为2台。
问题
分析
严重 中等 中等 严重 中等 严重 严重 严重 中等 中等 中等 严重 严重 严重
内部资料 中等 注意保密
安全改进建议(1/4) 系统配置加固
根据本次安全评估发现的问题,对系统进行相应的加 固,目前需要尽快实施的方面包括:
用户帐号、口令复杂度符合集团相应的安全配置要求 WEB Server加强安全配置,避免目录列出等问题
目录
1
2 3 4
云计算平台安全评估背景 云计算平台简介
云计算平台安全评估结果
安全改进建议
内部资料 注意保密
安全评估结果分类
平台应用层
用户管理平台 云计算搜索服务
系统层 网络层 设备层
内部资料 注意保密
应用层评估结果 - 用户管理平台
中国移动研究院云计算平台提供了基于WEB的用 户管理系统,通过http://192.168.33.8/cloud-portal 用户可以进行系统注册,在管理员审批之后用户就 可以使用云计算平台的资源。系统管理员会为新用 户在BigCloud云计算平台开放新的帐户。 用户管理平台主要存在的安全漏洞如下:
缺乏对从云计算平台到外部的攻击的控制方面的考虑
目前的安全防护、安全机制大多都是考虑防护来自外部的安全攻击 ,而在实际运营中,如果用户利用中国移动的云计算平台对互联网 上的其他服务器进行攻击或者发布违法内容等,都会对中国移动的 声誉等造成影响。因此,云计算平台还需要考虑控制从云计算平台 到外部的攻击,需要部署IPS、流量监控等设备来进行相应控制。