阿里云里面每个vpc都有一张系统自动创建的默认路由器表吗?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-27 18:34 标签: 阿里专有云案例

近几年国内的云计算市场发展迅猛,一片欣欣向荣的热闹景象。一边是各路云厂商前仆后继入场厮杀,另一边是大量的企业跃跃欲试想把业务往云上迁。为了满足客户灵活和安全的组网要求,各家云厂商几乎都提供了虚拟私有云服务。各云厂商对虚拟私有云的定义大同小异,总结起来就是:XXX虚拟私有云(VPC,VirtualPrivate Cloud)为用户在XXX云上提供一个逻辑隔离的区域,构建一个安全可靠、可配置和管理的虚拟网络环境,用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统,或者通过隧道实现VPC资源和企业侧IT资源的无缝融合。

借用AWS的一张图来示例VPC的典型应用场景:

从定义上看,VPC应该是严格隔离的,这样才能保证VPC的私密性要求。所谓“隔离”,在我看来至少应该包含两层含义:一是VPC之间默认应该是隔离的,用户只有主动通过特定的云资源(如网关或路由器)才能将不同VPC连接在一起,这也是用户的显式诉求;二是用户的VPC与云基础设施之间也应该是隔离的,云基础设施仅仅应该暴露有限的和必须的服务接口给用户,这样才能有效地保护云基础设施避免来自客户中的攻击。那么在现实中,各云产商对于“隔离”的实现情况又是如何的呢?就让我们实地去试探一下吧!

作为一个好奇的个人用户,我的目标仅仅是简单地验证一下VPC是否真的隔离,所以评估并没有严格的定量标准,结论也并不映射各云产商产品和技术的好坏,不应作为大家选择云供应商的依据。对于每个云厂商,我是按照以下的步骤进行评估的:

在国内提供服务的、自己所知道的云厂商我都几乎去注册个人账号,并且进行实名;需要身份证正反面和手持身份证照的(比如金山云)这些嫌麻烦就放弃实名了。需要企业注册的,有些也设法借助关系进行了测试(比如AWS),没有关系的(比如平安云)则放弃了。那些不提供线上注册服务的云服务供应商(比如蓝汛)也没有测试。

有的产商可以在控制台上画出VPC拓扑图,例如青云的就挺直观的:

大部分的测试都是类似于这样的逻辑结构。

云主机选择的都是CentOS / 实名认证后可购买

(支付宝认证) 支持 是 / 实名认证后可购买

(微信支付认证) 支持 是     流畅 百度云 百度 / 实名认证后可购买

(姓名+身份证号认证) 支持 是 / 实名认证后可购买

(京东金融认证) 支持 是 / 需要中国法人身份 支持 是     流畅 Azure中国 微软

(世纪互联运营) / 实名认证后可购买

(身份证正反面) 支持 是     实名后可以1元体验1个月,非常划算。 华为云 华为 / 实名认证后可购买

(银行卡认证) 支持 是 ** / 未实名也可购买 支持 是 / 未实名也可购买 支持 是 * / 未实名也可购买 支持 是 ** / 企业认证后可购买 支持 是       浪潮云 浪潮集团 / 未实名也可购买 支持

(/ 实名认证后可购买

(手机实名认证/ 实名认证后可购买

(手持身份证照片+正反面) 支持 否     是否华为协助建设?

看代码: 实名认证后可购买 支持 否     取回密码的短信后缀为嘛是【浪潮云】?两者什么关系? 金山云 金山集团 / 实名认证后可购买

(手持身份证照片+正反面) 支持 否       平安云 平安集团 / 企业认证后可购买 支持 否       网易云 网易 实名认证后可购买

(手持身份证照片+正反面) 支持 否       路由探测

一条traceroute命令可以告诉我们很多事情,你traceroute两三个公网的地址,两三个私网的地址,看看路由怎么走,它可能会暴露内部的网络信息。

有时候netstat命令也可以暴露一些信息,例如百度云:

京东云暴露)还是电信云(ctyun.cn),是否可以猜测它们的平台是一样的?有待验证

青云很多内部IP暴露,除了80、443,还有不少的ssh、3389等:

从主机名上看似乎也是一个云主机,只是不确定是青云自己的,还是别的客户的。

响应ping的主机很多:

还有其他的端口,似乎没有任何限制:

沃云:沃云也是发现大量的ssh、telnet、web等ip和服务:

从以上的信息来看,有不少云平台向客户VPC中暴露了过多的基础网络端点,并没有实现VPC与基础网络的完全隔离,可以从客户VPC中对云平台基础设施进行更深入的探测、猜解密码和漏洞利用尝试,可能会对云平台构成安全风险。虽然内部网络暴露给客户并不就一定意味着可以被攻破,云平台也可能已经在每一个端点进行了强加固,但暴露总会吸引非正常用户的注意。如果云平台无法阻止从客户VPC到基础网络的访问,那么至少也应该有检测潜在攻击的手段,能够及早发现异常的网络行为。从已进行测试的来看,只有阿里云因为扫描触发了告警,给我发了条短信,提示云主机正在对外发动DDOS攻击。除了竞争关系,云产商之间也有合作的关系,例如电信与华为,Ucloud与浪潮。如果A产商输出了技术,协助B产商建立了自己的云平台,那么B的云平台也极有可能有A平台相同的问题,这也很容易在实践中得到验证的。

至此全文将结束,虽然未能将国内主要的云平台全部测试一遍,但是也可以窥个端倪出来。,我也借此机会对IaaS的相关技术有了个粗浅的了解。世上没有完美的产品,我们也可以看到各个云平台在你追我赶,优胜劣汰,随着技术进步,相信我们会用上更好用更安全的云产品。

*本文作者:ipenox,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

云计算驱动云网络诞生 67 架构设计实践 5 阿里云云网络发展历程 6 云网络是数字经济的连接 云网络白皮书 云网络白皮书 2 云网络产品体系 5 解决方案和案例 11 基本概念 71 概述 13 产品体系架构 72 企业级云上网络解决方案 14 数据中心网络产品 74 全球网络互联解决方案 20 跨地域网络产品 77 全球应用加速解决方案 白皮书 23 混合云网络产品 27 网络安全产品 云网络白皮书 云网络白皮书 3 云网络技术体系 6 云网络未来展望 31 云网络技术概述 82 云原生网络 33 云网络业务特征 84 专用计算高性能网络 35 云网络技术特征 85 分布式云网络 42 洛神云网络技术 86 万物互联网络 1 2 云网络白皮书 小说是2G时代的缩影。3G时代,互联网浪潮席卷全球。3G扩展了频谱,提升了 云网络白皮书 速率,更高的带宽和更稳定的传输让移动互联网蓬勃发展。智能手机开始进入我 1 们的日常生活中。2007年1月9日,乔布斯发布了第一代iPhone。iTunes Music 云网络起源 Store、Safari、Email等应用,皆以图形化的方式呈现在

我要回帖

更多关于 阿里专有云案例 的文章

 

随机推荐