如今，企業(yè)上云的數(shù)量已經(jīng)穩(wěn)步增加，中小企業(yè)青睞于其物理基礎(chǔ)設(shè)施的經(jīng)濟(jì)性選擇，而大企業(yè)則喜歡充分利用云服務(wù)的靈活性。然而，現(xiàn)在他們也都面臨了一個(gè)挑戰(zhàn)，尤其是那些剛剛上云的企業(yè)，他們還并不熟悉云上業(yè)務(wù)的運(yùn)作方式、與純本地系統(tǒng)的的差異。云設(shè)置經(jīng)常不僅僅只涉及一個(gè)設(shè)施，經(jīng)常要和物理數(shù)據(jù)中心想結(jié)合。

因此，這個(gè)挑戰(zhàn)會(huì)延伸到安全層面，當(dāng)云安全部署不充分或者對(duì)于配置參數(shù)不熟悉時(shí)，會(huì)存在許多風(fēng)險(xiǎn)。許多因素會(huì)導(dǎo)致工作負(fù)載和應(yīng)用程序暴露在網(wǎng)絡(luò)上招致攻擊，包括錯(cuò)誤的配置、技術(shù)的合理使用、運(yùn)營(yíng)經(jīng)驗(yàn)和云系統(tǒng)防護(hù)，甚至是對(duì)于部分研發(fā)人員和云工程師的風(fēng)險(xiǎn)忽視。云系統(tǒng)的組成因素在很多方面是相互交織的，這會(huì)導(dǎo)致潛在攻擊媒介難以追蹤。對(duì)于剛開(kāi)始使用云平臺(tái)和服務(wù)的IT安全人員來(lái)說(shuō)，安全這個(gè)任務(wù)十分艱巨。

不管是云平臺(tái)還是云服務(wù)，結(jié)果發(fā)現(xiàn)配置錯(cuò)誤一直是云安全主要的陷阱之一，而且還會(huì)對(duì)訂閱云服務(wù)的企業(yè)和托管在云上的軟件用戶(hù)有所影響。

全域可寫(xiě)的亞馬遜S3存儲(chǔ)桶

AWS憑借其多種產(chǎn)品，現(xiàn)在已經(jīng)成為云行業(yè)的主要參與者。在AWS穩(wěn)定版的產(chǎn)品中，Amazon S3或許是最受歡迎的，像Netflix、Reddit和Pinterest這些企業(yè)都在用它的基礎(chǔ)設(shè)施。

我們?cè)谘芯緼mazon S3存儲(chǔ)桶時(shí)看到的一貫趨勢(shì)是，許多組織將它們放置在全域可寫(xiě)中，這是一種錯(cuò)誤配置，允許未經(jīng)授權(quán)的用戶(hù)寫(xiě)入存儲(chǔ)桶。比較知名的例子比如《洛杉磯時(shí)報(bào)》，該雜志之前有一個(gè)網(wǎng)絡(luò)控制列表（ACL），該列表配置允許公眾將訪(fǎng)問(wèn)路徑寫(xiě)入存儲(chǔ)桶中，該存儲(chǔ)桶托管在其一個(gè)兇殺報(bào)告的網(wǎng)站上。攻擊者可以在JavaScript代碼中注入加密挖礦程序。

遙測(cè)數(shù)據(jù)還表明，對(duì)一些全域可寫(xiě)的存儲(chǔ)桶網(wǎng)站攻擊大部分發(fā)生在2019年間，同時(shí)還涉及一些惡意代碼注入攻擊，最終以網(wǎng)站表單形式提取數(shù)據(jù)。我們遇到的另一個(gè)問(wèn)題是存儲(chǔ)在Amazon S3存儲(chǔ)桶中的惡意文件歸類(lèi)。大部分惡意文件使用舊的路徑尋址方案。這意味著存儲(chǔ)桶使用通用的Amazon S3主機(jī)名，而不是虛擬存儲(chǔ)方案，在虛擬托管方案中，存儲(chǔ)桶的名稱(chēng)包含在主機(jī)名中。這會(huì)給安全篩選器帶來(lái)問(wèn)題，因?yàn)樽柚故褂寐窂椒桨傅膼阂饩W(wǎng)站的主機(jī)名也同樣會(huì)阻止其他非惡意站點(diǎn)。

云上可用的第二項(xiàng)主要服務(wù)是計(jì)算，目前這些服務(wù)主要集中于容器技術(shù)。在過(guò)去幾年中，像一般的云細(xì)分市場(chǎng)一樣，容器的采用率也很高。Docker、Kubernetes和AWS Lambda之類(lèi)的軟件推動(dòng)了容器技術(shù)的發(fā)展，為希望簡(jiǎn)化其開(kāi)發(fā)操作的企業(yè)提供了輕便高效的云部署。但是，配置失誤或錯(cuò)誤很常見(jiàn)，這些錯(cuò)誤配置的系統(tǒng)有受到攻擊的風(fēng)險(xiǎn)。

1. Docker

交付加密貨幣挖礦不斷增加，一直困擾著Docker用戶(hù)，這也是因?yàn)楸┞对诰W(wǎng)絡(luò)上的Docker容器所致。挖礦會(huì)嚴(yán)重影響用戶(hù)的計(jì)算機(jī)，并且因自動(dòng)擴(kuò)展的云部署的CPU利用率過(guò)高而造成金錢(qián)損失。

攻擊者有多種技術(shù)將挖礦代碼注入未加密的Docker服務(wù)器。最簡(jiǎn)單的方法是直接在包含代碼的映像中安裝加密挖礦程序。另一種方法就是在啟動(dòng)過(guò)程中使用類(lèi)似Ubuntu的常用基礎(chǔ)映像來(lái)安裝挖礦軟件。

2. AWS Lambda

AWS Lambdas是無(wú)服務(wù)器事件驅(qū)動(dòng)平臺(tái)，可為應(yīng)用程序提供輕量級(jí)且經(jīng)濟(jì)高效的解決方案，無(wú)需設(shè)置使用模式。一個(gè)常見(jiàn)的誤解是Lambda受白帽保護(hù)，不能直接檢索函數(shù)名。這種誤解通常會(huì)導(dǎo)致未經(jīng)適當(dāng)身份驗(yàn)證的情況下執(zhí)行功能。

但是，攻擊者可以使用多種方法找到Lambda，例如，使用嗅探器偵聽(tīng)網(wǎng)絡(luò)流量，或者通過(guò)檢查L(zhǎng)ambda使用并運(yùn)行API網(wǎng)關(guān)站點(diǎn)的源代碼。如果沒(méi)有安全的Lambda身份驗(yàn)證，敏感信息有暴露的危險(xiǎn)。

另外，由于開(kāi)發(fā)人員的編碼方式不同，在給定不正確的參數(shù)時(shí)，許多基于Python的Lambda函數(shù)會(huì)打印堆棧跟蹤，這可能導(dǎo)致攻擊者了解Lambda配置的基礎(chǔ)信息。

3. Kubernetes

Kubernetes是一個(gè)用于管理容器工作負(fù)載的開(kāi)源容器編排平臺(tái)。我們使用Shodan發(fā)現(xiàn)2019年1月有32000臺(tái)Kubernetes服務(wù)器暴露在網(wǎng)絡(luò)上。與其他配置錯(cuò)誤的例子一樣，惡意分子可以利用網(wǎng)絡(luò)公開(kāi)訪(fǎng)問(wèn)Kubernetes服務(wù)或其任何組件。

（1） Kubeletes

Kubernetes使用其Kubeletes子組件的API來(lái)管理每個(gè)節(jié)點(diǎn)中的容器。在舊版本1.10之前的Kubernetes中，Kubelet公開(kāi)了數(shù)據(jù)端口10255和控制端口10250，這兩個(gè)端口均可被利用。濫用控制端口更為明顯，比如可用于安裝加密貨幣挖礦軟件，且端口10255可能包含潛在的敏感信息。

（2） etcd

Etcd是一個(gè)分布式和復(fù)制的鍵值存儲(chǔ)，充當(dāng)Kubernetes的主要數(shù)據(jù)存儲(chǔ)。它負(fù)責(zé)存儲(chǔ)Kubernetes安裝配置，并提供服務(wù)發(fā)現(xiàn)的存儲(chǔ)后端。除了Kubernetes，其他應(yīng)用程序（例如CoreDNS和Rook）都使用etcd。如果將其用作數(shù)據(jù)存儲(chǔ)，則公開(kāi)暴露的etcd可能會(huì)泄漏敏感數(shù)據(jù)，包括用于服務(wù)器和應(yīng)用程序的憑據(jù)。我們使用Shodan發(fā)現(xiàn)了2400多個(gè)暴露的etcd服務(wù)器，包含Kubernetes和其他軟件的混合。

憑證管理不當(dāng)

盡管憑據(jù)使用經(jīng)常被忽略，但卻是云計(jì)算最重要的方面之一。由于企業(yè)無(wú)法像數(shù)據(jù)中心一樣在物理上保護(hù)云系統(tǒng)，因此對(duì)憑證安全性的需求就變得更大。在保護(hù)憑據(jù)方面面臨的一個(gè)挑戰(zhàn)是許多流程通常需要訪(fǎng)問(wèn)身份驗(yàn)證數(shù)據(jù)和其他資源，這意味著用戶(hù)需要保護(hù)數(shù)據(jù)和憑據(jù)免受泄露。

程序員經(jīng)常犯的一個(gè)錯(cuò)誤是，他們會(huì)無(wú)意間在GitHub等公共存儲(chǔ)庫(kù)上泄露憑證信息。有時(shí)會(huì)在網(wǎng)上發(fā)布的代碼段中找到諸如API密鑰之類(lèi)的敏感數(shù)據(jù)，然后攻擊者就可以使用這些代碼片段來(lái)接管憑據(jù)使用的帳戶(hù)，隨后再進(jìn)行犯罪活動(dòng)，例如盜竊客戶(hù)數(shù)據(jù)，在暗網(wǎng)出售這些數(shù)據(jù)。

我們發(fā)現(xiàn)的另一個(gè)問(wèn)題是，許多經(jīng)驗(yàn)不足的程序員經(jīng)常遵循錯(cuò)誤的云教程，其中許多教程鼓勵(lì)在代碼本身內(nèi)部對(duì)憑證進(jìn)行硬編碼。如果代碼發(fā)布到任何人都可以訪(fǎng)問(wèn)的存儲(chǔ)庫(kù)中，這將成為一個(gè)問(wèn)題。

隨著云服務(wù)采用率的增長(zhǎng)，企業(yè)需要充分了解其面臨的威脅，并做好適當(dāng)?shù)臏?zhǔn)備，保護(hù)其云系統(tǒng)。如果沒(méi)有可靠的安全實(shí)施措施，云技術(shù)的好處就無(wú)法實(shí)現(xiàn)。本文研究分析的威脅并未涵蓋云中所有潛在的威脅和風(fēng)險(xiǎn)，包括一些最重要的威脅。對(duì)于需要了解云的結(jié)構(gòu)以及保護(hù)云的策略的IT和安全人員而言，這尤其重要。