云計(jì)算技術(shù)可以隨時(shí)通過(guò)互聯(lián)網(wǎng)提供計(jì)算資源共享池，且成本低廉甚至免費(fèi)。通過(guò)使用云計(jì)算，許多個(gè)人和企業(yè)已經(jīng)提高了運(yùn)營(yíng)效率，同時(shí)降低了 IT 成本。

盡管與現(xiàn)場(chǎng)模型相比，云計(jì)算模型充滿了優(yōu)勢(shì)，但它們?nèi)匀蝗菀资艿絻?nèi)部和外部攻擊。因此，云開(kāi)發(fā)人員需要采取安全措施來(lái)保護(hù)用戶的敏感數(shù)據(jù)免受網(wǎng)絡(luò)攻擊。

本文是為希望提高云服務(wù)解決方案安全性的云開(kāi)發(fā)人員和服務(wù)提供商編寫(xiě)的。我們將首先概述云計(jì)算技術(shù)的關(guān)鍵漏洞，然后看看云計(jì)算中最常見(jiàn)的攻擊類型。最后，我們將根據(jù)行業(yè)最佳實(shí)踐提供有關(guān)如何確?；谠频慕鉀Q方案的安全性的實(shí)用建議。

關(guān)鍵云計(jì)算漏洞

根據(jù)您需要的控制程度，可以選擇三種類型的云計(jì)算服務(wù)：

1、軟件即服務(wù) (SaaS)

2、平臺(tái)即服務(wù) (PaaS)

3、基礎(chǔ)設(shè)施即服務(wù) (IaaS)

云技術(shù)仍在積極開(kāi)發(fā)中，因此存在許多可被網(wǎng)絡(luò)犯罪分子或惡意內(nèi)部人員利用的漏洞。讓我們看看引起云用戶安全擔(dān)憂的關(guān)鍵云計(jì)算漏洞。

數(shù)據(jù)威脅

云用戶在云環(huán)境中存儲(chǔ)各種類型的數(shù)據(jù)，其中很多數(shù)據(jù)包含有關(guān)用戶或業(yè)務(wù)活動(dòng)的敏感信息。然而，這些數(shù)據(jù)很容易因人為行為、應(yīng)用程序漏洞和不可預(yù)見(jiàn)的緊急情況而丟失、泄露或損壞。顯然，云服務(wù)提供商無(wú)法阻止所有數(shù)據(jù)威脅，但云開(kāi)發(fā)人員應(yīng)該應(yīng)用現(xiàn)代加密算法來(lái)確保從用戶到云傳輸?shù)臄?shù)據(jù)的完整性。

云API漏洞

應(yīng)用程序編程接口 (API) 允許用戶與基于云的服務(wù)交互。然而，API 中的漏洞可能會(huì)嚴(yán)重影響云編排、管理、配置和監(jiān)控的安全性。云開(kāi)發(fā)人員需要對(duì) API 實(shí)施強(qiáng)有力的控制。

惡意內(nèi)部人士

惡意行為的合法云用戶有多種方式在云環(huán)境中安排攻擊或泄露數(shù)據(jù)。不過(guò)，云開(kāi)發(fā)人員可以通過(guò)實(shí)施身份和訪問(wèn)管理 (IAM) 技術(shù)來(lái)最大限度地減少這種威脅。

共享技術(shù)漏洞

云計(jì)算涉及虛擬化和云編排等共享技術(shù)的使用。因此，通過(guò)利用這些技術(shù)任何部分的漏洞，攻擊者都可以對(duì)許多云用戶造成重大損害。虛擬機(jī)管理程序中的弱點(diǎn)可能使黑客能夠控制虛擬機(jī)甚至主機(jī)本身。在虛擬機(jī)逃逸的情況下，黑客可以通過(guò)共享資源獲得對(duì)主機(jī)的無(wú)限制訪問(wèn)。因此，有必要注意您委托云解決方案的云提供商的安全性。

供應(yīng)商鎖定

大多數(shù)現(xiàn)代云服務(wù)提供商使其客戶依賴于他們的服務(wù)，而轉(zhuǎn)換成本很高。當(dāng)提供商無(wú)法提供他們所需的所有服務(wù)時(shí)，許多云用戶會(huì)感到被鎖定。確保您的解決方案具有幫助用戶輕松從其他提供商遷移的工具，例如導(dǎo)入各種格式數(shù)據(jù)的能力。

弱密碼學(xué)

盡管云提供商使用加密算法來(lái)保護(hù)存儲(chǔ)中的數(shù)據(jù)，但他們通常使用有限的熵源(例如時(shí)間)來(lái)自動(dòng)生成用于數(shù)據(jù)加密的隨機(jī)數(shù)。例如，基于 Linux 的虛擬機(jī)僅從精確的毫秒生成隨機(jī)密鑰。然而，這對(duì)于強(qiáng)大的數(shù)據(jù)加密來(lái)說(shuō)可能還不夠，因?yàn)楣粽哌€使用復(fù)雜的解碼機(jī)制來(lái)破解信息。因此，云開(kāi)發(fā)人員應(yīng)該在數(shù)據(jù)遷移到云之前考慮如何保護(hù)數(shù)據(jù)。

易受攻擊的云服務(wù)

雖然云計(jì)算平臺(tái)被設(shè)計(jì)為云服務(wù)的分布式系統(tǒng)，但這些服務(wù)之間幾乎沒(méi)有保護(hù)。因此，攻擊者可以利用任何一項(xiàng)云服務(wù)中的漏洞來(lái)獲得對(duì)合法用戶數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)。例如，2016年OpenStack云平臺(tái)的云服務(wù)存在超過(guò)150個(gè)已知弱點(diǎn)。創(chuàng)建強(qiáng)大的架構(gòu)可以隔離用戶在云中的操作。

云計(jì)算的攻擊向量

云計(jì)算中網(wǎng)絡(luò)攻擊的主要目標(biāo)是獲取用戶數(shù)據(jù)并阻止對(duì)云服務(wù)的訪問(wèn)。兩者都會(huì)對(duì)云用戶造成嚴(yán)重傷害，并動(dòng)搖人們對(duì)云服務(wù)安全性的信心。

在安排對(duì)云服務(wù)的攻擊時(shí)，黑客通常通過(guò)以下方式侵入云用戶與服務(wù)或應(yīng)用程序之間的通信：

利用云計(jì)算中的漏洞;

在云之外的某個(gè)地方竊取用戶的憑據(jù);

在破解用戶密碼后使用先前對(duì)云的合法訪問(wèn);

充當(dāng)惡意內(nèi)部人員。

如果您的解決方案具有一些區(qū)塊鏈驅(qū)動(dòng)的功能，請(qǐng)務(wù)必查看我們有關(guān)區(qū)塊鏈攻擊向量的文章。

10 種最常見(jiàn)的云計(jì)算攻擊類型

攻擊云計(jì)算服務(wù)的方法有很多種，黑客也在不斷致力于開(kāi)發(fā)更復(fù)雜的方法。然而，至少了解最常見(jiàn)的問(wèn)題將有助于云開(kāi)發(fā)人員設(shè)計(jì)更安全的解決方案。以下列出了十種不同類型的云攻擊。

1.云惡意軟件注入攻擊

惡意軟件注入攻擊的目的是控制云中的用戶信息。為此，黑客將受感染的服務(wù)實(shí)現(xiàn)模塊添加到 SaaS 或 PaaS 解決方案，或?qū)⑻摂M機(jī)實(shí)例添加到 IaaS 解決方案。如果云系統(tǒng)被成功欺騙，它會(huì)將云用戶的請(qǐng)求重定向到黑客的模塊或?qū)嵗?，從而啟?dòng)惡意代碼的執(zhí)行。然后攻擊者就可以開(kāi)始惡意活動(dòng)，例如操縱或竊取數(shù)據(jù)或竊聽(tīng)。

最常見(jiàn)的惡意軟件注入攻擊形式是跨站點(diǎn)腳本攻擊和 SQL 注入攻擊。在跨站點(diǎn)腳本攻擊期間，黑客將惡意腳本(Flash、JavaScript 等)添加到易受攻擊的網(wǎng)頁(yè)中。德國(guó)研究人員于 2011 年對(duì) Amazon Web Services 云計(jì)算平臺(tái)發(fā)起了一次 XSS 攻擊。在 SQL 注入的情況下，攻擊者以具有易受攻擊的數(shù)據(jù)庫(kù)應(yīng)用程序的 SQL 服務(wù)器為目標(biāo)。2008年，索尼的PlayStation網(wǎng)站成為SQL注入攻擊的受害者。

2. 濫用云服務(wù)

黑客可以使用廉價(jià)的云服務(wù)對(duì)目標(biāo)用戶、公司甚至其他云提供商進(jìn)行 DoS 和暴力攻擊。例如，安全專家Bryan 和 Anderson在 2010 年利用亞馬遜 EC2 云基礎(chǔ)設(shè)施的能力安排了 DoS 攻擊。結(jié)果，他們僅花費(fèi) 6 美元租用虛擬服務(wù)，就成功地使他們的客戶端無(wú)法在互聯(lián)網(wǎng)上使用。

Thomas Roth 在 2011 年黑帽技術(shù)安全會(huì)議上演示了一個(gè)暴力攻擊的示例。通過(guò)從云提供商租用服務(wù)器，黑客可以利用強(qiáng)大的云功能將數(shù)千個(gè)可能的密碼發(fā)送到目標(biāo)用戶的帳戶。

3.拒絕服務(wù)攻擊

DoS 攻擊旨在使系統(tǒng)超載并使其用戶無(wú)法獲得服務(wù)。這些攻擊對(duì)于云計(jì)算系統(tǒng)尤其危險(xiǎn)，因?yàn)榧词箚蝹€(gè)云服務(wù)器被淹沒(méi)，許多用戶也可能遭受損失。在高工作負(fù)載的情況下，云系統(tǒng)開(kāi)始通過(guò)涉及更多虛擬機(jī)和服務(wù)實(shí)例來(lái)提供更多計(jì)算能力。在試圖阻止網(wǎng)絡(luò)攻擊的同時(shí)，云系統(tǒng)實(shí)際上使其更具破壞性。最后，云系統(tǒng)速度變慢，合法用戶無(wú)法訪問(wèn)其云服務(wù)。在云環(huán)境中，如果黑客使用更多的僵尸機(jī)器來(lái)攻擊大量系統(tǒng)，DDoS攻擊可能會(huì)更加危險(xiǎn)。為了緩解這些問(wèn)題，必須了解有效的DDoS 預(yù)防技術(shù)。

4. 旁路攻擊

當(dāng)黑客將惡意虛擬機(jī)放置在與目標(biāo)虛擬機(jī)相同的主機(jī)上時(shí)，就會(huì)發(fā)生旁路攻擊。在側(cè)信道攻擊期間，黑客的目標(biāo)是加密算法的系統(tǒng)實(shí)現(xiàn)。然而，可以通過(guò)安全的系統(tǒng)設(shè)計(jì)來(lái)避免這種類型的威脅。

5. 包裹攻擊

云計(jì)算中的包裝攻擊是中間人攻擊的一個(gè)示例。云計(jì)算很容易受到包裝攻擊，因?yàn)樵朴脩敉ǔＭㄟ^(guò)網(wǎng)絡(luò)瀏覽器連接到服務(wù)。XML 簽名用于保護(hù)用戶的憑據(jù)免遭未經(jīng)授權(quán)的訪問(wèn)，但此簽名不能保護(hù)文檔中的位置。因此，XML 簽名元素包裝允許攻擊者操縱 XML 文檔。

例如，2009 年，亞馬遜彈性云計(jì)算 (EC2) 的 SOAP 接口中發(fā)現(xiàn)了一個(gè)漏洞。該漏洞允許攻擊者通過(guò)成功的簽名包裝攻擊來(lái)修改竊聽(tīng)的消息。

6. 云中人攻擊

在此類攻擊中，黑客利用同步令牌系統(tǒng)中的漏洞攔截并重新配置云服務(wù)，以便在下次與云同步時(shí)，同步令牌將被替換為向攻擊者提供訪問(wèn)權(quán)限的新令牌。用戶可能永遠(yuǎn)不知道他們的帳戶已被黑客入侵，因?yàn)楣粽呖梢噪S時(shí)放回原始同步令牌。此外，還存在被盜帳戶永遠(yuǎn)無(wú)法恢復(fù)的風(fēng)險(xiǎn)。

7. 內(nèi)部攻擊

內(nèi)部攻擊是由故意違反安全策略的合法用戶發(fā)起的。在云環(huán)境中，攻擊者可以是云提供商管理員或擁有廣泛權(quán)限的客戶公司員工。為了防止此類惡意活動(dòng)，云開(kāi)發(fā)人員應(yīng)該設(shè)計(jì)具有不同級(jí)別的云服務(wù)訪問(wèn)權(quán)限的安全架構(gòu)。

8. 賬戶或服務(wù)劫持

帳戶或服務(wù)劫持是在獲得用戶憑據(jù)的訪問(wèn)權(quán)限后實(shí)現(xiàn)的。有多種技術(shù)可以實(shí)現(xiàn)這一目標(biāo)，從釣魚(yú)到間諜軟件再到 cookie 中毒。一旦云賬戶被黑客入侵，攻擊者就可以獲取用戶的個(gè)人信息或企業(yè)數(shù)據(jù)，從而危及云計(jì)算服務(wù)。例如， 2007 年，SaaS 供應(yīng)商Salesforce的一名員工成為網(wǎng)絡(luò)釣魚(yú)詐騙的受害者，導(dǎo)致該公司的所有客戶帳戶均被泄露。

9. 高級(jí)持續(xù)威脅(APT)

APT 是一種讓黑客在合法用戶不知情的情況下持續(xù)竊取存儲(chǔ)在云中的敏感數(shù)據(jù)或利用云服務(wù)的攻擊。這些攻擊的持續(xù)時(shí)間使黑客能夠適應(yīng)針對(duì)它們的安全措施。一旦建立未經(jīng)授權(quán)的訪問(wèn)，黑客就可以穿過(guò)數(shù)據(jù)中心網(wǎng)絡(luò)并利用網(wǎng)絡(luò)流量進(jìn)行惡意活動(dòng)。

10.新攻擊：Spectre和Meltdown

這兩類網(wǎng)絡(luò)攻擊在今年早些時(shí)候出現(xiàn)，已經(jīng)成為云計(jì)算的新威脅。借助惡意 JavaScript 代碼，攻擊者可以利用大多數(shù)現(xiàn)代處理器的設(shè)計(jì)缺陷從內(nèi)存中讀取加密數(shù)據(jù)。Spectre 和 Meltdown都打破了應(yīng)用程序和操作系統(tǒng)之間的隔離，讓攻擊者可以從內(nèi)核讀取信息。這對(duì)于云開(kāi)發(fā)人員來(lái)說(shuō)確實(shí)是一個(gè)令人頭疼的問(wèn)題，因?yàn)椴⒎撬性朴脩舳及惭b了最新的安全補(bǔ)丁。

7 個(gè)云攻擊預(yù)防技巧

云服務(wù)的動(dòng)態(tài)特性打破了用于現(xiàn)場(chǎng)軟件的傳統(tǒng)安全模型。顯然，云服務(wù)提供商無(wú)法確保云中的全面安全。云用戶也有部分責(zé)任。雖然保護(hù)云中用戶數(shù)據(jù)的最佳方法是提供分層安全方法，但云服務(wù)提供商應(yīng)實(shí)施行業(yè)最佳實(shí)踐，以確保其云安全達(dá)到最高水平。以下是有關(guān)云開(kāi)發(fā)人員如何確保其基于云的解決方案安全的七個(gè)技巧。

1. 強(qiáng)化安全政策

軟件供應(yīng)商在提供云服務(wù)時(shí)，應(yīng)在安全策略中限制其保護(hù)云中用戶數(shù)據(jù)和操作的責(zé)任范圍。告知您的客戶您為確保云安全所做的工作以及他們需要采取哪些安全措施。

2.使用強(qiáng)認(rèn)證

竊取密碼是訪問(wèn)云中用戶數(shù)據(jù)和服務(wù)的最常見(jiàn)方式。因此，云開(kāi)發(fā)人員應(yīng)該實(shí)施強(qiáng)大的身份驗(yàn)證和身份管理。建立多因素身份驗(yàn)證。有多種工具需要靜態(tài)密碼和動(dòng)態(tài)密碼。后者通過(guò)在移動(dòng)電話上提供一次性密碼或使用生物識(shí)別方案或硬件令牌來(lái)確認(rèn)用戶的憑據(jù)。

3.實(shí)施訪問(wèn)管理

為了提高服務(wù)的安全性，云開(kāi)發(fā)者應(yīng)該讓云用戶將基于角色的權(quán)限分配給不同的管理員，這樣用戶就只能擁有分配給他們的能力。此外，云編排應(yīng)使特權(quán)用戶能夠根據(jù)其在公司內(nèi)的職責(zé)來(lái)建立其他用戶的權(quán)限范圍。

4. 保護(hù)數(shù)據(jù)

云環(huán)境中的數(shù)據(jù)在傳輸和存儲(chǔ)的各個(gè)階段都需要加密：

在源頭(在用戶端)

傳輸中(從用戶傳輸?shù)皆品?wù)器的過(guò)程中)

靜止時(shí)(存儲(chǔ)在云數(shù)據(jù)庫(kù)中時(shí))

數(shù)據(jù)在進(jìn)入云端之前就需要加密?，F(xiàn)代數(shù)據(jù)加密和標(biāo)記化技術(shù)可以有效防御帳戶劫持。此外，證明端到端加密對(duì)于保護(hù)傳輸中的數(shù)據(jù)免受中間人攻擊也很重要。使用包含鹽和哈希值的強(qiáng)大加密算法可以有效地抵御網(wǎng)絡(luò)攻擊。

存儲(chǔ)在云端的數(shù)據(jù)也容易受到意外損壞，因此您還可以通過(guò)提供數(shù)據(jù)備份服務(wù)來(lái)確保其恢復(fù)。

5. 檢測(cè)入侵

為您的基于云的解決方案提供完全托管的入侵檢測(cè)系統(tǒng)，該系統(tǒng)可以檢測(cè)并通知入侵者對(duì)云服務(wù)的惡意使用。使用入侵檢測(cè)系統(tǒng)提供網(wǎng)絡(luò)監(jiān)控并通知內(nèi)部人員的異常行為。

6. 安全 API 和訪問(wèn)

云開(kāi)發(fā)人員應(yīng)確保客戶端只能通過(guò)安全 API 訪問(wèn)應(yīng)用程序。這可能需要限制 IP 地址范圍或僅通過(guò)公司網(wǎng)絡(luò)或 VPN 提供訪問(wèn)。然而，對(duì)于面向公眾的應(yīng)用程序來(lái)說(shuō)，這種方法可能很難實(shí)施。因此，您可以通過(guò) API 使用特殊的腳本、模板和配方來(lái)實(shí)現(xiàn)安全保護(hù)。您甚至可以更進(jìn)一步，在 API 中構(gòu)建安全保護(hù)。

7. 保護(hù)云服務(wù)

限制對(duì)云服務(wù)的訪問(wèn)對(duì)于防止攻擊者通過(guò)云服務(wù)的弱點(diǎn)獲得對(duì)用戶操作和數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)是必要的。在設(shè)計(jì)云服務(wù)架構(gòu)時(shí)，將事件處理程序權(quán)限最小化，僅保留執(zhí)行特定操作所需的權(quán)限。此外，您可以將安全決策限制為僅針對(duì)用戶信任的那些能夠管理其數(shù)據(jù)安全的云服務(wù)。

結(jié)論

云計(jì)算技術(shù)因其諸多優(yōu)點(diǎn)而深受用戶歡迎。然而，這項(xiàng)技術(shù)也引入了漏洞，這些漏洞可能成為網(wǎng)絡(luò)攻擊的新載體。通過(guò)了解網(wǎng)絡(luò)犯罪分子如何在云計(jì)算中進(jìn)行攻擊，云開(kāi)發(fā)人員可以更好地保護(hù)他們的產(chǎn)品。

參考及來(lái)源：https://www.apriorit.com/dev-blog/523-cloud-computing-cyber-attacks

文章來(lái)源：嘶吼專業(yè)版