DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos防护_海外高防cdn_免费试用

06-11 DDOS防御

ddos防护_海外高防cdn_免费试用

产品与工程2019年11月18日史考特皮珀一个AWS IAM的政策框架:议会amazonwebservices(AWS)用户、服务和资源之间的交互由AWS身份和访问管理(IAM)中实现的策略控制。这些策略是自由格式的文本段,为管理员提供了极大的灵活性。因此,他们必须注意确保本文不包括可能导致其政策无法按预期发挥作用的错误。传统上这是一个手动过程,因为还没有任何工具可以提供自动错误。杜实验室正在发布第一个开源工具,它可以自动评估IAM策略:Parliament。Parliament被设计成与其他工具一起工作,可以用来验证小到单个S3桶的策略,也可以用来验证像500+这样复杂的策略所有用户都可以使用的AWS管理的策略。我们很高兴与大家分享,如果您使用AWS管理的政策,那么您已经从议会提供的见解中受益了!在开发过程中,我们发现了这些已发布策略中的一些错误,并与AWS安全团队进行了沟通,以分享我们的发现什么使政策制定具有挑战性?从一个例子开始,一类简单的错误是将IAM操作的名称与通过IAM操作控制的API操作的名称混为一谈。虽然这两个组件通常有一个名称,但它们也经常有相同的名称不是在IAM策略参考文档中进一步详细介绍。S3操作到API操作的映射就是这样一种"不匹配"。在帐户中列出S3存储桶的IAM操作的名称是S3:ListAllMyBuckets,但使用此权限的API操作称为S3:ListBuckets。这可能导致作者编写引用操作名S3:ListBuckets的IAM策略,但策略只能引用IAM操作,因此这不是一个有效的分配权限。如果IAM主体(可以发出AWS请求的个人或应用程序)通过这样的策略被授予权限,防御cc攻击c源码,则它将无法按预期列出S3存储桶。事实上,这对所有人策略语言功能"Globbing"是一个术语,用于描述使用通配符(通常是*,就像IAM策略一样)来代替一个或多个字符的能力。IAM策略支持globbing,例如,Describe*允许作者编写一个策略,允许他们描述所有事情,而不必引用以descripe开头的每个操作喇叭前面:描述一下*会是行动字符串。在那里这是个问题,以"不允许任何行动"开始描述,但事实上,这是不可能的,也不会向作者提供任何反馈,说明为什么他们的政策不符合他们的要求有意的。一些特权允许作者提供附加信息,例如要应用它的资源的名称或操作要使用的条件语句。并不是所有的操作都那么灵活,要么需要额外的组件,要么完全不允许它们。例如,某些EC2操作在其条件下使用标记,但不是全部。包含操作EC2:modifyInstanceAttribute并使用条件EC2:resourceTag的策略将无效,因为该操作的定义不允许使用标记来选择EC2实例.策略必须用JSON格式表示。在这种格式中,具有高度的灵活性,其优点是允许任意名称和逻辑表达式,并且能够轻松地支持添加新的AWS服务、资源和操作。IAM策略语言所提供的自由度也带来了错误发生的机会。今天编写复杂的IAM政策,就好比只用记事本撰写一篇文章。出现的错误,如简单的打字错误或将特权名称与API操作混淆(如上所示),类似于字处理器的拼写检查将捕捉到的错误。其他错误可能会违反更复杂的规则,类似于语法检查明白。可以这有助于安全?议会并没有停止帮助作者确保他们写的是功能性政策。我们已经确定了某些类型的安全问题,这些问题可以通过对策略文本的静态分析,结合有关IAM策略规则和可用IAM的知识进行检测行动。一此类安全问题就是资源策略权限提升。假设一个IAM用户被授予特权,可以对特定的S3存储桶执行任何操作,除了从中删除对象。如果用户在该bucket上被授予的操作之一是S3:PutBucketPolicy,则会引入安全风险。使用该操作,ddos防御阀值,他们可以在s3bucket上设置一个资源策略,google防御ddos,该策略授予每个人(包括匿名用户和他们自己)从s3bucket中删除对象的能力。因此,这允许他们执行其策略不打算授予的操作(删除对象),并应将其视为一种特权形式升级。怎么做议会有效吗?为了创建议会,我们首先需要一个来源,以确定哪些IAM活动实际存在,以及它们的所有限制条件。以前的工具通过从AWS策略生成器或AWS控制台本身的JavaScript文件中提取数据来收集这些信息。对于一个服务条件来说,这些服务条件可能不允许使用这些服务条件,但对于这些服务条件来说,这些定义可能不适用于这些服务条件。因此,我们构建了一个web scraper来从AWS的HTML中提取政策知识,并将其导出到议会可以使用的JSON数据中使用。在加载要处理的新策略时,linter遍历所有语句,取消Action和NotAction元素的lobbing。例如,它将s3:Get*转换为与该全局字符串匹配的所有可能的操作。它确保资源和条件对于所考虑的每个操作都是有效的,并且条件值是正确的类型。另一个例子是Bool应该只与值"true"或"false"匹配。许多其他类似的检查都是沿着好吧。一个globbing带来的挑战是将文档中所需的资源类型与策略中给定的值相匹配。例如,s3:GetObject必须具有与arn:*:s3:::*/*匹配的资源,并且IAM策略可能使用字符串arn:aws公司:s3:::mybucket*。因此,我们不得不问这样一个问题:"这两个可以在一个或多个s3arn上匹配吗?"人类可以很容易地看到这两种表达方式,假设一个"是"的答案,并直观地通过例子构建一个证据,例如arn:aws公司:s3:::mybucket/foo。当然,计算机需要更明确的指令,智能dns防御ddos,而不是"只看它们并找到一个例子"。这个问题通常被描述为"寻找正则表达式的交集",而且在许多情况下,它的计算成本很高。幸运的是,由于IAM只提供字符串globbing,而不是正则表达式的全套功能,因此问题变得非常严重更简单。是值得使用吗?在议会的开发过程中,我们使用了AWS管理的IAM策略的全部内容作为真实世界测试用例的语料库。随着我们实施越来越先进的能力,议会实际上发现了类似上述的差异,其中大约有100个管理的政策,每个受影响的政策平均有3个错误。这些项目中任何一项的典型影响都是,在某些情况下,策略没有完全达到用户预期的效果。我们很高兴地报告AWS安全、IAM和工程团队参与了这些报告的分类和组织解决方案每个。这些我们的测试结果表明,议会满足了我们社区的真正需要。这个图书馆可以(也应该!)用于任何发布IAM策略的项目,无论是作为手动检查还是通过集成到CI/CD管道中。第一个这样的集成已经部署在CloudMapper的CI/CD管道中,CloudMapper是我们的其他项目之一。今后,我们计划扩大议会的侦查能力,以及它与国际资产管理协会政策进行程序化互动的能力。这个库帮助策略作者更加自信地工作,他们的IAM策略将按预期工作,并且不受那些我们可以识别的可疑结构的影响目前。试试看你自己去议会。议会可以在Github上找到。

,防御CC香港服务器

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60246.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8057535访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X