昨天寫了一篇《科普一下公有云的網(wǎng)絡(luò)》(見后半部分)，今天收到了阿里云官方的回復(fù)，并還動(dòng)用了一些微博上的IT圈的號(hào)來轉(zhuǎn)這個(gè)“澄清”。

　　“【澄清】1.文章存在事實(shí)錯(cuò)誤，阿里云經(jīng)典網(wǎng)絡(luò)內(nèi)網(wǎng)默認(rèn)不互通;2.經(jīng)典網(wǎng)絡(luò)下，用戶只有在設(shè)置安全規(guī)則開放過多協(xié)議和過大CIDR網(wǎng)段如0.0.0.0/0的情況下才能被訪問;3.新用戶可優(yōu)先選擇阿里云VPC;4.經(jīng)典網(wǎng)絡(luò)存量服務(wù)器向VPC遷移功能正在內(nèi)測(cè);5.正確設(shè)置指南:O網(wǎng)頁鏈接”

　　(注：其實(shí)，阿里云和一些用戶并沒有認(rèn)真閱讀我的文章，如果認(rèn)真閱讀了就會(huì)發(fā)現(xiàn)阿里云官方是在映證我之前的文章的大部分的觀點(diǎn)的)

　　我本來想推動(dòng)更成熟更為安全的VPC解決方案的，但發(fā)現(xiàn)阿里云官方的這個(gè)言論相當(dāng)?shù)恼`導(dǎo)用戶，似乎還是想讓用戶信任阿里云的經(jīng)典網(wǎng)絡(luò)。既然這樣，我覺得我非常有必要寫下這一篇文章來更為詳細(xì)地說明一下這個(gè)事。

　　2013年的阿里云

　　2013年，我在阿里商家業(yè)務(wù)部做聚石塔，聚石塔的底層是阿里云。當(dāng)時(shí)，聚石塔的安全問題很嚴(yán)重，有很多商家和買家的業(yè)務(wù)數(shù)據(jù)外泄，所以，成立了一個(gè)專門負(fù)責(zé)安全的小組。阿里安全部門也專門派人來強(qiáng)力支持。

　　當(dāng)時(shí)有一個(gè)很大的安全問題是——阿里云的內(nèi)網(wǎng)多個(gè)租戶居然是通的。我團(tuán)隊(duì)的一個(gè)花名叫焦義的同學(xué)做了一個(gè)這樣的測(cè)試——用自己的錢在阿里云上開了一臺(tái)機(jī)器，然后隨便訪問聚石塔里的用戶的機(jī)器，當(dāng)時(shí)做這個(gè)測(cè)試的時(shí)候，阿里安全部門的Suddy、商家業(yè)務(wù)部的安全負(fù)責(zé)人滄竹，都在旁邊。

　　這個(gè)事情，由我和玄難提給了當(dāng)時(shí)負(fù)責(zé)聚石塔阿里云的產(chǎn)品經(jīng)理許玉勤，經(jīng)過了長(zhǎng)達(dá)幾個(gè)月的溝通，最終阿里云沒有解決這個(gè)事，所以，只能由聚石塔來解決。于是我們就給聚石塔的租戶設(shè)置安全組，因?yàn)榈讓又С值奶�不好，所以設(shè)置的很死，而用戶又需要在自己的集群中相互通信，所以，當(dāng)時(shí)的解決方案是，需要用戶申請(qǐng)，我們才開了3000-3100的端口范圍。(當(dāng)時(shí)這個(gè)項(xiàng)目我在聚石塔做了好幾個(gè)月，扯皮無數(shù)，所以我記憶非常深)

　　注：當(dāng)時(shí)的阿里云是不讓用戶編輯安全組的，內(nèi)網(wǎng)是全互通的。如果我沒有記錯(cuò)，到了我快要離開阿里的時(shí)候(2015年)才讓用戶可以編輯安全組的。

　　(上面的事主要是回復(fù)——阿里云的內(nèi)網(wǎng)是不是一直都是默認(rèn)不通的這個(gè)問題)

　　經(jīng)典網(wǎng)絡(luò)的安全問題

　　關(guān)于經(jīng)典網(wǎng)絡(luò)的問題太多了，一方面是內(nèi)網(wǎng)IP不夠用，另一方面是配置復(fù)雜，最重要的是——經(jīng)典網(wǎng)絡(luò)是有非常嚴(yán)重的安全問題!

　　就算你用安全組來隔離，經(jīng)典網(wǎng)絡(luò)都存在非常嚴(yán)重的安全問題!

　　就算你用安全組來隔離，經(jīng)典網(wǎng)絡(luò)都存在非常嚴(yán)重的安全問題!

　　就算你用安全組來隔離，經(jīng)典網(wǎng)絡(luò)都存在非常嚴(yán)重的安全問題!

　　原因如下：

　　1)這種網(wǎng)絡(luò)結(jié)構(gòu)從設(shè)計(jì)上不可避免的把多個(gè)租戶放在同一個(gè)內(nèi)網(wǎng)網(wǎng)段!所以，物理層面上來說就是通的!我相信這點(diǎn)阿里云不會(huì)否認(rèn)吧。

　　2)動(dòng)用安全組來隔離用戶是一種相當(dāng)復(fù)雜的事，復(fù)雜的東西就容易出錯(cuò)!因?yàn)�，網(wǎng)絡(luò)隔離的手段只有配置安全組。所謂安全組就是iptables的配置!而且是在每臺(tái)宿組機(jī)上配置，大家可以想一下，一臺(tái)機(jī)器可以配置多少這樣的規(guī)則?這是有限制的!而且是在管理上的很復(fù)雜的，不但對(duì)用戶來說很復(fù)雜，我相信對(duì)阿里云的開發(fā)和運(yùn)維來說也非常復(fù)雜!

　　所以，這種通過安全來隔離多租戶是一件很容易出錯(cuò)的事，當(dāng)租戶的數(shù)量越來越多的時(shí)候，或是當(dāng)一個(gè)租戶的機(jī)器數(shù)量越來越多的時(shí)候，配置出錯(cuò)這事的概率就越來越大!

　　所以，正確解決的這事的問題是——VPC、VPC、VPC!這對(duì)阿里云和用戶都好!這是個(gè)雙贏的解決方案!

　　我不是做安全的，我是做軟件的，我相信VPC比安全組更安全這個(gè)事，安全的同學(xué)也不反對(duì)吧。

　　“注：我都離開阿里了，還在為阿里提建議找Bug，作為阿里云，你們應(yīng)該感謝我才對(duì)!”

　　經(jīng)典網(wǎng)絡(luò)還有什么風(fēng)險(xiǎn)

　　那么，阿里云的內(nèi)網(wǎng)通還是不通呢?如果你有阿里云的機(jī)器，而且你在經(jīng)典網(wǎng)絡(luò)下，你自己可以測(cè)試。用 `nmap` 命令掃唄!

　　你看，我個(gè)人在阿里云上的 VM 在 10.25.0.0/16 這個(gè)網(wǎng)段。我隨便掃一下，一堆機(jī)器都掃出來了：

　　$ nmap -v -sT 10.25.6.0/24 --open

　　你還可以掃個(gè)更大的網(wǎng)段(專掃redis)：

　　$ nmap -v -sT 10.25.0.0/16 -p 6379 --open

　　關(guān)于我掃到的redis一堆，然后用 redis-cli 可以登上，不過大多數(shù)都需要password，那些不需要的我就不貼出來了。要窮舉一下密碼的事我也就不干了。(另外，還發(fā)現(xiàn)有租在阿里云上建SVN，嗯，沒有驗(yàn)證，代碼沒拉了，因?yàn)榇�碼庫(kù)太大了)

　　好!那么問題來了，我們姑且認(rèn)為阿里云在經(jīng)典網(wǎng)絡(luò)下的各個(gè)租戶都是隔離開的，那么為什么會(huì)有那么多的用戶能被掃出來?可以 ping 通，可以 telnet，甚至可以 login !

　　最關(guān)鍵的問題是——這為黑客搭了一個(gè)高速公路啊(說高鐵都不為過)。

　　理由如下：

　　1) 我本來在公網(wǎng)上掃端口，我分不清哪些IP地址是服務(wù)器的，現(xiàn)在好了，上阿里云內(nèi)網(wǎng)里掃一下，100%都是服務(wù)器，效率提高很多啊。

　　2)另外，經(jīng)典網(wǎng)絡(luò)的IP還都是連續(xù)的，這太TMD的爽了!

　　3)我再打個(gè) route 命令看一下路由表，原來還有好多別的內(nèi)網(wǎng)網(wǎng)段哦。

　　4)最爽的是，在內(nèi)網(wǎng)發(fā)起攻擊，帶寬好快啊，而且可能還沒安全監(jiān)控哦……

　　5)要是運(yùn)氣好，說不定我還能搞定阿里云的控制系統(tǒng)……

　　其它還想說的

　　0)給圍觀群眾的話：

本文鏈接：http://m.51huadong.com/cloundnews/11000752.html