雖然研究人員稱他們已將這些安全漏洞告知了AWS，而且AWS已經修復了這些漏洞，但他們認為同樣類型的攻擊針對其他的云服務同樣有效，“因為相關的Web服務標準無法匹配性能和安全。”

德國波鴻魯爾大學的一個研究團隊利用多種XML簽名封裝攻擊獲取了不少客戶賬號的管理員權限，然后可以創建客戶云的新實例，可以添加鏡像或刪除鏡像。在另一個場合中，研究人員還利用跨站腳本攻擊了開源的私有云軟件框架Eucalyptus.

他們還發現亞馬遜的服務也容易受到跨站腳本攻擊。

“這不光是亞馬遜的問題，”研究人員之一的Juraj Somorovsky說。“這些攻擊都是些很普通的攻擊類型。這說明公有云并不像表面看上去那么安全。這些問題在其他云架構中也能夠發現。”

Somorovsky稱，他們正在開發一個高性能庫，再配以XML安全，便可消除可能被XML簽名封裝攻擊利用的弱點。這項工作會在明年的某個時候完成。AWS承認存在簽名封裝攻擊的可能性，并稱已經與魯爾大學合作改正了他們所發現的問題。AWS的一位發言人在郵件中稱，“目前還沒有客戶受到影響。必須指出，這一潛在漏洞只涉及授權AWS API調用的很小一部分，而且只是非SSL端點調用的那部分，并非像報道所稱的是一個可能廣泛傳播的漏洞。”

AWS已經發布了最佳實踐列表，遵循最佳實踐，客戶是可以免遭魯爾大學團隊所發現的這類攻擊和其他類型攻擊的。下面就是AWS所發布的最佳時間列表：

只使用基于SSL安全的HTTPS端點調用AWS服務，確保客戶端應用執行適當的對等認證程序。所有AWS API調用用到非SSL端點的比例極小，而且AWS未來可能會不支持非SSL API端點的使用。

在進行AWS管理控制臺訪問時，最好使用多要素認證（MFA）。

創建身份與訪問管理（IAM）賬戶，該賬戶的作用和責任有限，并且僅對有特殊資源需求的賬戶開放權限。

有限制的API訪問，與源IP更深互動，使用IAM源IP策略限制。

定期輪換AWS證書，包括密鑰、X.509認證以及Keypair.

在使用AWS管理控制臺時，盡量避免和其他網站有互動，只允許安全的互聯網瀏覽行為。

AWS客戶還應考慮使用API訪問機制而不用SAOP，如REST/Query.

河南億恩科技股份有限公司(www.laynepeng.cn)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900