云安全揭秘:云端只是别人的计算机

本文深入探讨了AWS、GCP和Azure等公有云服务的安全架构,通过剖析具体服务揭示云端本质仍是计算机和软件,并展示了如何通过理解内部架构发现安全漏洞。

BSides Cyprus: 云端…只是别人的计算机

刚刚注意到,我最近几次演讲的内容都没有发布,这是其中之一… 这是我2021年的第8次也是最后一次演讲。这次研究更侧重于云安全架构/工程方面。这是我第二次参加BSides Cyprus,一如既往,这是一个与优秀人才共聚的精彩活动。BSides Cyprus的组织者做得非常出色。从远程活动的设置,到CTF竞赛,CTF参与者的奖品,以及整体氛围,都是一场极佳的活动。

现在具体谈谈我的演讲,这是我准备了大约一年的主题,很高兴能在BSides Cyprus上分享。由于各种原因,公有云提供商有意抽象了许多关于一切如何组合在一起的基础细节,以及这如何影响安全。

因此,在这次演讲中,我挑选了AWS、GCP和Azure的一些服务,并剖析它们以证明:

  • 底层只是计算机和软件
  • 拥有这种“内部”架构理解如何帮助您发现漏洞(在示例中使用了一些公开可用的漏洞,没有披露0day或禁运问题)

我这次演讲的目标不是揭露一些重大的设计缺陷或声称公有云不好。只是为了提高意识,并改变安全工程师在使用公有云时的思维方式,超越供应商文档所说的内容。如果您想看一看,可以在这里找到我的幻灯片。 cloud…-just-somebody-elses-computer下载

分享此内容: 点击在Reddit上分享(在新窗口中打开) Reddit

点击在Facebook上分享(在新窗口中打开) Facebook

点击在X上分享(在新窗口中打开) X

点击通过电子邮件发送给朋友(在新窗口中打开) 电子邮件 喜欢加载中…

相关 BSides Cyprus 2019: 超越钓鱼邮件 2019年12月16日 在“会议/培训”中

Security BSides Amsterdam 2017 2017年11月12日 在“会议/培训”中

BSides Athens 2021: .GR TLD劫持 2021年7月7日 在“会议/培训”中

由xorl撰写 2022年12月22日 13:32

发布在会议/培训中

« 为什么方程式组(EQGRP)不是NSA OSINT: 2022年SIDEWINDER行动摘要 »

留下评论

Δ

搜索:

分类 选择分类 管理 (28) 安卓 (1) 书籍 (43) C编程 (16) 会议/培训 (27) 戴尔 (4) FreeBSD (24) 富士通-西门子 (1) 趣味 (35) Gera的不安全编程 (5) Grsecurity (20) 黑客 (27) 历史 (1) 惠普 (1) IBM (2) Linux (238) 恶意软件 (4) 错误 (6) 摩托车与汽车 (14) NetBSD (9) 新闻 (37) OpenBSD (7) 操作安全 (8) OSX (2) pfSense (1) Phrack (3) 投票 (1) Raptor的战争游戏 (2) 逆向工程 (11) 安全 (43) Solaris (19) 威胁情报 (36) 提示 (7) 未分类 (24) 漏洞 (446) 战争游戏 (9) Windows (10)

归档 选择月份 2024年2月 (2) 2023年1月 (1) 2022年12月 (2) 2022年7月 (1) 2022年6月 (1) 2022年4月 (1) 2021年12月 (1) 2021年10月 (3) 2021年8月 (1) 2021年7月 (2) 2021年5月 (3) 2021年4月 (10) 2021年3月 (2) 2021年2月 (1) 2021年1月 (4) 2020年8月 (2) 2020年6月 (1) 2020年5月 (2) 2020年3月 (2) 2020年1月 (2) 2019年12月 (6) 2018年7月 (1) 2018年3月 (5) 2018年2月 (8) 2018年1月 (4) 2017年12月 (18) 2017年11月 (38) 2013年5月 (10) 2012年9月 (4) 2012年8月 (3) 2012年6月 (1) 2012年5月 (5) 2012年4月 (1) 2012年2月 (1) 2012年1月 (5) 2011年12月 (5) 2011年10月 (7) 2011年9月 (1) 2011年8月 (10) 2011年7月 (11) 2011年6月 (10) 2011年5月 (22) 2011年4月 (17) 2011年3月 (16) 2011年2月 (8) 2011年1月 (24) 2010年12月 (27) 2010年11月 (29) 2010年10月 (16) 2010年9月 (14) 2010年4月 (5) 2010年2月 (4) 2010年1月 (27) 2009年12月 (9) 2009年11月 (40) 2009年10月 (26) 2009年8月 (24) 2009年7月 (39) 2009年6月 (24) 2009年5月 (38) 2009年4月 (51) 2009年3月 (28) 2009年2月 (24) 2009年1月 (50)

页面

关于 进攻性安全私人公司清单

通过电子邮件关注博客

点击关注此博客,并通过电子邮件接收新文章通知。

电子邮件地址:

关注

APT映射

中国 朝鲜(北韩) 欧盟 伊朗 俄罗斯 美国

链接

.aware 攻击核心 dividead的博客 grsecurity ithilgore的网站 sin的博客 stealth的博客

在WordPress.com上博客。

评论

重新博客

订阅

已订阅

xorl %eax, %eax

加入149名其他订阅者

注册我

已经有WordPress.com账户?立即登录。

xorl %eax, %eax

订阅

已订阅 注册 登录 复制短链接

报告此内容

在阅读器中查看文章

管理订阅

折叠此栏

加载评论中…

写评论…

电子邮件(必填)

名称(必填)

网站

%d

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次