没有VPC的阿里金融云安全吗？

---

2016-06-23 by dongnan

目标

• 测试阿里金融云，在没有 VPC 环境，使用安全组隔离网络是否安全。

环境

阿里金融云(2016)，杭州节点提供20GB DDOS 防护，但是内网为经典网络模式(安全组)没有VPC。

• 工具，nmap,whois,搜索引擎。
• 阿里金融云 ECS。

ECS 网络信息

#  120.27.252.0/22 dev eth1  proto kernel  scope link  src 120.27.XXX.XXX
#  10.253.100.0/22 dev eth0  proto kernel  scope link  src 10.253.XXX.XXX
#  172.16.0.0/12 via 10.253.XXX.XXX dev eth0
#  100.64.0.0/10 via 10.253.XXX.XXX dev eth0
#  10.0.0.0/8 via 10.253.XXX.XXX dev eth0

步骤

扫描主机

# 金融云中的主机执行命令
nmap -sP 10.253.100.0/22 > host.txt

可以看到这个金融云网络，存活的主机数量是 454个。

暴漏端口

# 执行命令
nmap -p1-3306 10.253.100.XX

Starting Nmap 5.51 ( http://nmap.org ) at 2016-05-04 15:12 CST
Nmap scan report for 10.253.100.XX
Host is up (0.00043s latency).
Not shown: 3304 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https
MAC Address: 00:16:3E:XX:XX:67 (Xensource)

暴漏域名

# 执行命令
curl https://10.253.100.XX
curl: (51) SSL: certificate subject name 'fz??.com' does not match target host name '10.253.100.XX'

使用 whois 查询

# 域名
Domain Name: fz??.com
#...省略
Registrant Email: op-sys@XX.com

某证券jira服务器
site:fz??.com

小结

通过测试并从网络安全维度出发，使用安全组，虽能够隔离网络通信,但广播通信是无法隔离的。所以金融云暴漏出部分敏感信息。

从测试结果来说个人认为阿里金融云是不及格的，众所周知金融云成本是远高于普通云的，对于用户来角度来讲：支付的成本多了，某些安全性则退步了，这是不能接受的。

不过好在后续的金融云已经支持VPC网络。

最后附上阿里云金融云网络隔离拓扑图，供参考: