近日关于云计算安全的问题,闹的沸沸扬扬。某不才,也算是云计算入门人士,便结合自身经历分析一番。
也曾被黑过
当时用的阿里云华北1,只有经典网络。那时候很天真,以为即使是经典网络,那么也是租户隔离的。为了便于几台机器互相调用,于是把安全组设置为内网入,所有协议,所有IP,所有端口都允许。
然而几天以后,某个机器无法SSH上去,通过vnc一看,不得了,竟然内核都被人改了。当时百思不得其解,我这个机器完全没有连外网啊,怎么会被黑呢?怎么会呢?
后来才知道经典网络是互通的,相互之间的隔离是通过安全组。默认的安全组是全部拒绝的,如果不是我手贱,就不会那么容易被黑。
也谈VPC
具体细节不谈了,之前也看过VxLan的原理。如果想深入,看看neurtron的组网就明白了,net,subnet,port
所谓VPC,就是隔离隔离隔离,简单来说,就是对于虚拟机所看到的网络,和别人的网络是不通的。如果当时用的VPC,就已经和其他租户隔离了,被黑的概率大为降低。
阿里云容器服务
分析清除了之前被黑的原因,便看了看我阿里云下的安全组,发现竟然有两条不是我自己创的。看了下名字以及创建时间,想起来是之前用容器服务的时候创建的。
再打开规则一看,一看吓一跳
| 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 | 操作 |
|---|---|---|---|---|---|---|
| 允许 | 全部 | -1/-1 | 地址段访问 | 0.0.0.0/0 | 1 | 克隆 删除 |
竟然是全部允许。后来联系阿里云容器服务的易立大侠,报告这个安全问题,得知这个问题早已修复。
小结
能用VPC就用VPC,虽然会稍微复杂一点,但安全性大为提高。
另外再问一句,为啥阿里云华北1只有经典网络?就因为比其他region便宜10%?
备份
云舒:给小白的租户隔离科普文
左耳朵耗子:科普一下公有云的网络
本博客欢迎转发,但请保留原作者信息
github:codejuan
博客地址:http://blog.decbug.com/