鐘合

現(xiàn)階段，上云企業(yè)的數(shù)量穩(wěn)步增加，中小企業(yè)青睞物理基礎(chǔ)設(shè)施的經(jīng)濟(jì)性，而大企業(yè)則鐘愛云服務(wù)的靈活性。但對(duì)于剛剛上云的企業(yè)來說，他們并不熟悉云上業(yè)務(wù)的運(yùn)作方式與單純的本地系統(tǒng)存在何種差異。

云端的設(shè)置不僅涉及單一設(shè)施，還需要與物理數(shù)據(jù)中心相結(jié)合。因此，上云的挑戰(zhàn)便延伸到了安全層面，當(dāng)企業(yè)的云安全部署不充分或?qū)τ谂渲脜?shù)不熟悉時(shí)，便會(huì)面臨諸多風(fēng)險(xiǎn)，這些因素會(huì)導(dǎo)致工作負(fù)載和應(yīng)用程序暴露在網(wǎng)絡(luò)上，包括配置錯(cuò)誤、技術(shù)的合理使用、運(yùn)營(yíng)經(jīng)驗(yàn)和云系統(tǒng)防護(hù)，甚至是對(duì)于部分研發(fā)人員和云工程師的風(fēng)險(xiǎn)忽視。云系統(tǒng)的組成因素在很多方面是相互交織形成的，所以潛在攻擊媒介很難追蹤，而對(duì)于剛剛開始使用云平臺(tái)和服務(wù)的IT安全部門工作人員來說，安全任務(wù)十分艱巨。

云時(shí)代的安全問題是當(dāng)務(wù)之急，因?yàn)樵朴?jì)算技術(shù)為黑客提供了更多的目標(biāo)集與新工具。這些攻擊所基于的啟動(dòng)點(diǎn)范圍很廣，從一般憑據(jù)（例如被遺忘的或被盜的憑據(jù)）到使用AWS Glue和Sage Maker等數(shù)據(jù)科學(xué)工具的新憑證，以及使用Kubernetes等強(qiáng)大的工具實(shí)施的復(fù)雜攻擊等等。

2021年，會(huì)有許多有關(guān)云服務(wù)的安全問題暴露出來，以下是對(duì)于云安全的一些預(yù)測(cè)：

持續(xù)性攻擊

當(dāng)創(chuàng)建新實(shí)例并運(yùn)行可以匹配所需任何硬件或軟件環(huán)境的虛擬機(jī)時(shí)，云體系結(jié)構(gòu)可提供完全的靈活性，但這種靈活性如果不能得到適當(dāng)保護(hù)，便可能誘發(fā)黑客在保留對(duì)初始攻擊控制權(quán)的情況下發(fā)起持續(xù)性攻擊。

Amazon Web Services云服務(wù)可以使開發(fā)人員輕松地以漸進(jìn)式或間斷式的方法構(gòu)建云端環(huán)境。例如，AWS允許開發(fā)人員在每次重新啟動(dòng)Amazon EC2實(shí)例時(shí)自動(dòng)執(zhí)行腳本，這就意味著，如果黑客設(shè)法使用已上傳到云實(shí)例的有毒shell腳本來控制該實(shí)例，繼而利用其與服務(wù)器的連接進(jìn)行持續(xù)不斷地攻擊。這種方式可以讓黑客在服務(wù)器內(nèi)橫向移動(dòng)，從而獲得特權(quán)并竊取數(shù)據(jù)，使其能夠進(jìn)一步利用企業(yè)的資源。

盡管企業(yè)的管理員可以關(guān)閉自動(dòng)執(zhí)行腳本選項(xiàng)，并要求開發(fā)人員每次返回環(huán)境時(shí)進(jìn)行登錄操作，但是實(shí)施這一措施需要開發(fā)人員的積極主動(dòng)配合，所以本質(zhì)上來說，AWS的靈活性也正是其弱點(diǎn)所在。配置選項(xiàng)過多導(dǎo)致服務(wù)器錯(cuò)誤配置幾率增加，這便給黑客留下了更多的攻擊入口。

數(shù)據(jù)科學(xué)工具攻擊

事實(shí)證明，筆記本電腦對(duì)于數(shù)據(jù)科學(xué)家來說是必不可少的存在，電腦夠幫助他們快速的對(duì)數(shù)據(jù)進(jìn)行集成和分析。像AWS Sage Maker這類工具可以使數(shù)據(jù)分析的流程更加高效，幫助數(shù)據(jù)科學(xué)家構(gòu)建、訓(xùn)練和部署機(jī)器學(xué)習(xí)模型。但是，AWS Sage Maker作為一種相對(duì)較新的工具，其受眾范圍并沒有覆蓋整個(gè)安全領(lǐng)域。所以，安全意識(shí)的薄弱也給了黑客進(jìn)行攻擊的機(jī)會(huì)。

與其他Amazon的產(chǎn)品一樣，AWS Sage Maker具備靈活性強(qiáng)、選項(xiàng)多等特點(diǎn)。研究表明，黑客可以利用部分選項(xiàng)功能給自己授予更高的管理員特權(quán)，黑客也可以利用攻擊路徑繞過Amazon GuardDuty的（可用于訪問高級(jí)角色和權(quán)限）泄露憑證數(shù)據(jù)，打開云實(shí)例上的終端。

此外，黑客還可以利用Cloud Goat等開源項(xiàng)目。他們使用AWS Glue、CodeBuild和S3以及開源項(xiàng)目中未使用過的“組”和“角色”來進(jìn)行特權(quán)升級(jí)。面對(duì)這種情況，管理員和數(shù)字科學(xué)家也需要熟悉系統(tǒng)的體系架構(gòu)，以保護(hù)自身安全，并最大限度地縮小黑客的活動(dòng)空間。

機(jī)器人 可能會(huì)感染云遺留資產(chǎn)

安全公司GlobalDots的一份調(diào)查報(bào)告顯示，超過80%的“惡意機(jī)器人”（即竊取數(shù)據(jù)、抓取內(nèi)容、分發(fā)垃圾郵件、運(yùn)行分布式拒絕服務(wù)攻擊等行為的機(jī)器人）都是基于云端的數(shù)據(jù)中心運(yùn)行的，“惡意機(jī)器人”會(huì)對(duì)網(wǎng)絡(luò)站點(diǎn)進(jìn)行病毒的“傳染式”投放，利用其已經(jīng)獲得控制權(quán)服務(wù)器去攻擊其他服務(wù)器和用戶。

此外“惡意機(jī)器人”也可以利用對(duì)云基礎(chǔ)架構(gòu)的控制，來為黑客執(zhí)行破壞任務(wù)。相關(guān)研究調(diào)查顯示，對(duì)加密貨幣挖礦（cryptomining）的攻擊更黑客受其歡迎，所以在某種程度上，加密貨幣領(lǐng)域面臨著巨大的網(wǎng)絡(luò)安全威脅。

相關(guān)研究人員稱，黑客已經(jīng)不滿足于控制云基礎(chǔ)架構(gòu)所竊取的資源和資金，故而他們開發(fā)出的“加密貨幣挖礦惡意軟件”的新變種還可以竊取AWS憑證。新變種中的蠕蟲病毒利用“加密貨幣挖礦惡意軟件”進(jìn)行封裝，通過尋找未加密的AWS CLI文件，進(jìn)而從中提取憑證數(shù)據(jù)。

該研究人員表示，面對(duì)這種新型攻擊手段的解決方案是限制外界對(duì)相關(guān)數(shù)據(jù)的訪問，但是要實(shí)現(xiàn)這一操作，同樣需要管理員的積極配合。

更多Kubernetes威脅

黑客利用常見的配置錯(cuò)誤問題，開發(fā)出了針對(duì)Weave Scope的攻擊手段。Weave Scope可以監(jiān)控Kubernetes集群的一系列資源的狀態(tài)、資源使用情況、應(yīng)用拓?fù)?，還可以直接通過UI界面進(jìn)行調(diào)式查看日志等操作。黑客利用端口4040授予的默認(rèn)開放的訪問權(quán)限安裝Weave Scope，并將其用作監(jiān)視系統(tǒng)、調(diào)取資源、安裝應(yīng)用程序、啟動(dòng)或關(guān)閉容器中Shell的后門程序，從而實(shí)現(xiàn)自己想要實(shí)現(xiàn)的一切事情。

相關(guān)消息稱，為了滲透云環(huán)境，黑客組織TeamTNT已將合法的Weave Scope軟件添加到其攻擊工具包中。根據(jù)網(wǎng)絡(luò)安全公司Intezer和Microsoft本周發(fā)布的最新研究，這可能是Weave Scope首次被納入基于云的攻擊中。

搶先防御 先發(fā)制人

隨著越來越多的企業(yè)安裝云應(yīng)用，來自云端的安全威脅也不斷增長(zhǎng)。預(yù)計(jì)到2023年，企業(yè)在公共云方面的支出，將比2019年增加一倍以上。

大多數(shù)的網(wǎng)絡(luò)安全問題都是可以被糾正的，然而許多管理員和用戶卻只是在威脅降臨之際，才去正視思考該問題。屆時(shí)，他們已然成為“受害者”。為了避免這種情況，管理員和用戶需要提前查找漏洞，并在問題演變成現(xiàn)實(shí)攻擊之前就將其解決填補(bǔ)。隨著2021年云應(yīng)用量的持續(xù)增加，用戶對(duì)于配置問題的安全意識(shí)也必須同步增長(zhǎng)。

隨著云服務(wù)的持續(xù)演進(jìn)和不斷完善，我們相信云安全也會(huì)與時(shí)俱進(jìn)。在戰(zhàn)略上藐視對(duì)手，在戰(zhàn)術(shù)上重視對(duì)手，這應(yīng)該是我們對(duì)待云安全問題的基本態(tài)度和原則。

云安全問題的暴露，從積極的一面分析，它讓云服務(wù)商和上云企業(yè)都更多一份小心和重視，想方設(shè)法消除安全瓶頸，讓云服務(wù)的安全邊界更嚴(yán)密，逐漸變得滴水不漏。

從宏觀角度考慮，作為云安全防護(hù)的第一道防線，云服務(wù)商的安全認(rèn)知、主動(dòng)防范意識(shí)、多重的安全保護(hù)措施，特別是滲透在血液中的安全文化，才是打造安全云銅墻鐵壁的關(guān)鍵因素。