云概念
Iaas、Paas、Saas
- IaaS (基础设施即服务)
- 主要提供:服务器、存储、网络、负载均衡器、防火墙、诸如 DNS 等基础服务
- 可以根据消耗量购买硬件、可扩展
- 用户可以在云服务提供商提供的基础设施上部署和运行任何软件,包括操作系统和应用软件。
- 适合刚创业公司,节省购买硬件的成本。
- IaaS 云端基本架构模型:云管理器、集群管理器、计算机管理器
- 风险
- API安全
- 用户数据泄漏
- 密钥控制权、权限细分
- 主要提供:服务器、存储、网络、负载均衡器、防火墙、诸如 DNS 等基础服务
- PaaS(平台即服务)
- 主要提供:数据库、开发环境、Heroku(云平台开发环境)、CRM、Cloud Foundry、OpenStack
- 优点
- 使开发人员能够创建自定义应用程序,而无需维护软件
- Web服务和数据库是集成的
- 风险
- 常见的渗透方法
- 容器安全、逃逸、拒绝服务
- SaaS(软件即服务)
- 主要提供:Gmail、QQ、Paypal
- 优点
- 减少安装、减少的繁琐升级操作、统一管理。
- 风险
- 客房端加密方式
- 云服务端加密方式
云有云、私有云、混合云
- 公有云
- 阿里云属于公有云、成本低、无需维护、高可靠性、缩放性
- 私有云
- 专供一个企业或组织使用的资源,可自定义硬件资源
- 私有云使用对象通常是政府、金融机构等中大型企业
- 优点
- 灵活性更高、安全性更高、缩放性更高
- 混合云、社区云
- 私有云与公有云相结合,在两者中之间移动,如一些Web服务放在公有云,敏感数据内部系统放私有云
- 优点
- 控制性、灵活性 、成本效益
- 社区云由多个社区的云组合在一起,可共享资源访问。
云术语概述
RDS
- 关系型数据库服务(Relational Database Service,简称 RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。
- RDS 采用即开即用方式,兼容 MySQL、 SQL Server 两种关系型数据库,并提供数据库在线扩容、备份回滚、性能监测 及分析功能。
- RDS 与云服务器搭配使用 I/O 性能倍增,内网互通避免网络瓶颈。
对象存储 OSS(理解为网盘)
- 对象存储(Object Storage Service),是阿里云对外提供的海量、安全和高可靠的云存储服务。
- RESTFul API 的平台无关性,容量和处理能力的弹性扩展,按实际容量付费真正使您专注于核心业务。
ECS
- 云服务器(Elastic Compute Service,简称ECS)
安全组
- 安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。
- 同一安全组内的ECS实例之间默认内网网络互通。
访问控制
- 对 OSS 的资源访问分为拥有者访问、第三方用户访问。这里的拥有者指的是 Bucket 的拥有者,也称为开发者。
(Bucket可以理解为是存储空间。存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。您可以设置和修改存储空间属性用来控制地域、访问权限、生命周期等,这些属性设置直接作用于该存储空间内所有对象,因此您可以通过灵活创建不同的存储空间来完成不同的管理功能。
同一个存储空间的内部是扁平的,没有文件系统的目录等概念,所有的对象都直接隶属于其对应的存储空间。
每个用户可以拥有多个存储空间
存储空间的名称在 OSS 范围内必须是全局唯一的,一旦创建之后无法修改名称。
存储空间内部的对象数目没有限制。)
- 第三方用户是指访问 Bucket 里资源的用 户。 访问又分为匿名访问和带签名访问。
- 对于 OSS 来说,如果请求中没有携带 任何和身份相关的信息即为匿名访问。
- 带签名访问指的是按照 OSS API 文档中 规定的在请求头部或者在请求 URL 中携带签名的相关信息。
- OSS 提供 Bucket 和 Object 的权限访问控制。
Access Key身份验证
- 阿里云用户可以在管理控制台里自行创建 Access Key,Access Key是由AccessKey ID 和 AccessKey Secret 组成。
- 其中 ID 是公开的,用于标识用户身份,Secret 是秘密的,用于用户鉴别。
- 当用户向 OSS 发送请求时,需要首先将发送的请求按照 OSS 指定的格式生成签名字符串;
- 然后使用 AccessKey Secret 对签名字符串进行加密(基于HMAC 算法)产生验证码。
- 验证码带时间戳,以防止重放攻击。
- OSS 收到请求以后,通过 AccessKey ID 找到对应的 AccessKey Secret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一样即认为该请求是有效的;否则,OSS 将拒绝处理这次请求,并返回 HTTP 403 错误。
(HMAC算法是一种基于密钥的报文完整性的验证方法,其安全性是建立在Hash加密算法基础上的。它要求通信双方共享密钥、约定算法、对报文进行Hash运算,形成固定长度的认证码。通信双方通过认证码的校验来确定报文的合法性。)
原文链接:云渗透思路 | (moonsec.com)https://www.moonsec.com/archives/1098