每周云安全资讯-2022年第31周

1

对Kubernetes 的 AWS IAM Authenticator的身份验证利用

在这篇博文将介绍在 AWS IAM Authenticator 中检测到的三个漏洞，所有这些漏洞都是由同一代码行引起的

https://mp.weixin.qq.com/s/PJ5YqSxHttgjKZXVkxqIcQ

2

详细案例教会你如何在AWS中链接漏洞getshell和访问数据

本文为旧金山湾区的OWASP会上演讲，关于在AWS EC2实例中使用错误配置、公开允许的IAM策略和应用程序安全漏洞getshell

https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA

3

为什么云存储服务是网络钓鱼攻击的主要目标

威胁参与者正在寻找利用基于云的在线存储服务的方法，使用社会工程技术渗透组织并部署恶意软件

https://www.itprotoday.com/attacks-and-breaches/why-online-storage-services-are-prime-targets-phishing-attacks

4

通过错误配置的 AWS Cognito 接管 AWS 帐户

Amazon Cognito 管理用户身份验证和授权 (RBAC)。用户池允许登录和注册功能。身份池（联合身份）允许经过身份验证和未经身份验证的用户使用临时凭证访问 AWS 资源。本文介绍了通过错误配置的 AWS Cognito 接管 AWS 帐户的方式

https://mp.weixin.qq.com/s/I6_omjXhrL84w3gbFYdw-Q

5

Google Cloud JupyterLab的XSS到任意命令执行

本文介绍了Google Cloud JupyterLab中的XSS到任意命令执行过程

https://mp.weixin.qq.com/s/3bonJ_6UZ0j_iAKOchYUQQ

6

攻击面管理：2022年为何成为主流？

2022年是攻击面管理技术重要的一年。攻击面管理解决方案可能成为大型企业的首要投资项目

https://mp.weixin.qq.com/s/et5gzhOt1uQjCw6RJ7hFoQ

7

无处不在的 AWS IAM 角色，无处不在的 IAM 风险

AWS 最近宣布了一项新的革命性身份和访问管理 (IAM) 功能 – IAM Roles Anywhere。此功能允许 AWS 账户之外的工作负载在您的 AWS 账户中担任角色并访问 AWS 资源。虽然此功能显着改进了对 AWS 资源的外部访问管理，但它也带来了安全挑战

https://securityboulevard.com/2022/07/aws-iam-roles-anywhere-iam-risks-anywhere/

8

Docker 那些事儿：如何安全地停止、删除容器？

本篇文章将会讲讲如何停止、删除容器和对容器进行资源限制

https://mp.weixin.qq.com/s/icwKcmiUMJcrK2QB8mnSJg

9

浅析云原生应用安全组织架构

云和DevOps在这种转型中发挥着巨大的作用，并彻底改变了我们开发和运营软件的方式。软件从未像今天这样容易创建，从未像今天这样频繁地更新，也从未创新过如此迅速地适应客户需求

https://www.4hou.com/posts/6VXN

10

Top 7  Kubernetes 安全错误

最危险的安全漏洞往往是最基本的，通过修复这些简单的错误开始改善您的 Kubernetes 安全状况

https://www.infoworld.com/article/3667277/7-biggest-kubernetes-security-mistakes.html

11

Kubernetes 安全：左移策略和简化管理

据云原生计算基金会的一项调查显示，69% 的企业已经在生产中使用 Kubernetes。这种日益流行的趋势仅意味着组织应该已经开始关注将 K8s 集成到其运营中的网络安全影响。然而，当威胁行为者将目光投向 K8s 时，仅仅了解基础知识是不够的。也是时候更上一层楼了

https://www.helpnetsecurity.com/2022/07/28/kubernetes-security-shift-left-strategies-and-simplifying-management/

12

多云环境的威胁检测

从威胁检测的角度来看，缺乏对云内部和云之间以及进出本地基础设施的流量的可见性正在造成巨大的盲点

https://securityboulevard.com/2022/07/threat-detection-for-your-multi-cloud-environment/

点击阅读原文或访问

https://cloudsec.tencent.com/info/list.html

查看历史云安全资讯