Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/google-cloud-platform/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Google cloud platform GCP默认防火墙规则是否存在安全问题?_Google Cloud Platform_Google Compute Engine - Fatal编程技术网
Fatal编程技术网

Google cloud platform GCP默认防火墙规则是否存在安全问题?

google-cloud-platform google-compute-engine

Google cloud platform GCP默认防火墙规则是否存在安全问题?,google-cloud-platform,google-compute-engine,Google Cloud Platform,Google Compute Engine,无论何时在GCP中创建项目,都有一个名为“default allow ssh”的默认防火墙规则,该规则允许在端口22上使用0.0.0.0/0,这使得从浏览器通过ssh轻松地连接到具有外部ip的机器上。但这允许任何来自互联网的机器访问我的22端口的机器,而机器人则不断尝试访问他们能找到的任何东西。我想他们仍然需要破解密码或ssh密钥之类的东西,但这不是一个非常危险的默认设置规则吗?当您使用外部ip启动一台新机器时,实际上没有任何警告,我希望GCP有一个更严格的方法。 如果有人能帮我澄清这一点,我将

无论何时在GCP中创建项目,都有一个名为“default allow ssh”的默认防火墙规则,该规则允许在端口22上使用0.0.0.0/0,这使得从浏览器通过ssh轻松地连接到具有外部ip的机器上。但这允许任何来自互联网的机器访问我的22端口的机器,而机器人则不断尝试访问他们能找到的任何东西。我想他们仍然需要破解密码或ssh密钥之类的东西,但这不是一个非常危险的默认设置规则吗?当您使用外部ip启动一台新机器时,实际上没有任何警告,我希望GCP有一个更严格的方法。 如果有人能帮我澄清这一点,我将不胜感激。
如果我删除了这个默认规则,并且仍然希望通过ssh访问我的机器,那么哪种方法简单安全呢?

如果没有这个规则,当您尝试使用
gcloud
命令行工具使用ssh时,请求会立即被拒绝,所以AFAIK,计算引擎在这里的选择是为了便于开始使用GCE而优化的

我还认为默认情况下会禁用密码身份验证,因此任何攻击者都有两种进入途径:

  • 破解SSH私钥
  • 利用SSH代理二进制文件中的漏洞进行攻击
    • 考虑到今天的技术,我认为第一个是相当牵强的。如果这足够容易的话,我们会在世界上遇到更大的问题

    如果谷歌云平台没有定期部署自动安全补丁,那么第二个问题似乎值得担心。是的,这仍然容易受到0天攻击的攻击,但考虑到谷歌的安全团队是在流行项目中发现了几个最近的安全漏洞的人(例如,我很确定Heartbleed是由谷歌发现、修补和披露的),很有可能,如果所有GCE虚拟机使用的SSH代理中都存在安全漏洞,谷歌将比其他任何人更快地修补它

    也就是说,如果你真的不喜欢这个规则,我很确定你可以修改规则的定义,这样默认情况下它只允许你所有虚拟机的IP或子网的特定列表