云计算-云安全威胁与威胁代理（Cloud Security Threats and Agents）

安全术语和概念（Security terms and concepts）

        在我们讨论和分析基于云的系统之前，我们需要了解一些基本术语和概念。在本节中，我们将讨论教科书中使用的一系列术语。您应该注意，在真实的云系统中，某些术语可能有所不同，但概念是相同的。您应该在之前的单元中遇到过大多数这些概念。教科书阅读中的图 6.3 展示了这些概念之间的关系。

• 机密性（Confidentiality）：限制对数据的访问，只允许授权用户访问。此限制涵盖了存储数据以及网络中任何组件上的数据传输。
• 完整性（Integrity）：指数据或行为的特性，表明它未被未经授权的行为者更改。数据完整性适用于存储在云中的数据以及在云和用户之间传输的数据。请注意，此定义来自教科书，但您还应该意识到有些人会将操作、硬件或软件故障添加到可能发生的完整性破坏列表中。
• 真实性（Authenticity）：指某物是由授权来源提供的。真实性的一个子集是不可否认的概念，这是防止否认交互已发生的概念。不可否认是提供授权来源已执行某些操作的证据。
• 可用性（Availability）：表示资源在指定的时间间隔内可访问。云应用的可用性由不同的组织负责。电信公司负责将客户端连接到云的通信链路。云提供商负责云的可用性。如果客户在云中运行自己的应用程序，客户将负责该软件。
• 威胁（Threat）：对安全防御的潜在攻击。当攻击是有意打破系统的防御以颠覆隐私或造成伤害时，我们使用“攻击”一词。成功的威胁通常称为攻击。
• 漏洞（Vulnerability）：在攻击中可以被利用的弱点。我们的目标是减少漏洞，但有时候完全消除它们是不可能的。漏洞的许多原因包括安全策略的弱点、配置错误、软件错误、用户错误、硬件缺陷等。
• 风险（Risk）：威胁被执行的可能性称为风险。我们可以使用两个度量标准来衡量风险：攻击的概率和攻击成功后的成本。
• 安全控制（Security controls）：我们应用安全控制来抵消或减少安全风险。安全控制包括可能包含特定软件或硬件对策的政策规则和实践。请注意，规则和实践需要人类行动，因此所有授权用户必须了解这些政策和程序。
• 安全机制（Security mechanisms）：安全机制是构成对策的详细信息。它们包括每个对策中涉及的操作、硬件和软件的细节。请注意，一些安全机制将支持多个对策。
• 安全策略（Security policies）：安全策略是组织制定并分发给组织成员的规则和规定。安全策略还可能指定如何执行规则和规定，包括惩罚。例如，SCU 安全策略规定了对违反规则的学生的处罚（取消访问权限和可能被大学开除）。

参考资料

趋势科技

IBM

威胁代理（Threat agents）

        威胁代理是威胁的人类或软件来源。威胁可以由人工发起，也可以由程序重复尝试对许多不同系统应用攻击。威胁代理可以是内部的或外部的。

        有几种类型的威胁代理。教科书确定了本节剩余部分描述的威胁代理。请注意，有时会使用其他术语来描述相同的代理类型。

• 匿名攻击者（Anonymous Attacker）：未被分配权限访问数据的攻击者。匿名攻击者通过颠覆安全权限来获得访问权限。这可以通过窃取用户凭据或绕过安全控制来实现，方法是利用已知的错误或众所周知的配置错误。通常，匿名攻击者使用软件来测试上述缺陷或尝试从许多用户和系统中窃取密码，直到找到目标。
• 恶意服务代理（Malicious service agent）：拦截通信流量的恶意服务代理。它可以修改消息的内容，也可以仅仅使用找到的信息。
• 受信任的攻击者（Trusted attacker）：拥有合法凭据但滥用它们以访问未打算提供给他们的信息的攻击者。通常情况下，受信任的攻击者从云应用程序的信任边界内部发动攻击。受信任的攻击者访问其他云用户的数据，有时被称为恶意租户。
• 恶意内部人员（Malicious insider）：恶意内部人员通常是指云或电信提供商的在职员工或前员工。如果恶意内部人员拥有高级别的安全凭据，那么潜在威胁就非常大。

参考资料

基础云安全

活动 7

        阅读教材第 6.2 节第 121-124 页，然后回答以下问题：

1. 匿名攻击者可能发起哪些潜在攻击？
2. 为什么前雇员比现雇员构成更大的威胁？可以部署什么样的对策？
3. 受信任的攻击者只在多租户应用程序上构成威胁吗？
4. 为什么恶意内部人员可能比阅读中提到的其他威胁代理更危险？

云威胁和漏洞（Cloud threats and vulnerabilities）

云威胁和漏洞

        云系统中有几种常见的威胁和漏洞，我们将在本节中查看这些威胁，留下对策到稍后。

• 窃听（Eavesdropping）
• 恶意中间人（Malicious intermediary）
• 拒绝服务（DoS）
• 授权不足（Insufficient authorisation）
• 虚拟化攻击（Virtualisation attack）
• 重叠的信任边界（Overlapping trust boundaries）

参考资料

基础云安全

活动 8

        1.解释窃听和恶意中间人攻击之间的区别：

        - 窃听攻击是指未经授权的代理检查数据流量的过程。这种攻击通常是只读的，不修改数据。例如，黑客可能在网络上截取通过未加密连接发送的电子邮件。
  
        - 恶意中间人攻击是指拦截并修改消息，然后将修改后的消息传递给目标，目标可能不知道消息已被篡改。例如，黑客可能拦截在线银行交易，修改收款人的账户信息，然后将修改后的交易信息发送给银行。

        2.为什么有人会发动拒绝服务攻击？

         拒绝服务（DoS）攻击的目的通常是使目标系统无法正常运行，从而导致服务中断。攻击者可能有各种动机，包括政治动机、金钱动机或纯粹的恶作剧。有时候，DoS攻击也可以作为一种策略，以便达到其他更具体的目标，比如勒索。

        3.能想到一个授权不足攻击的例子吗？考虑一下你对学生访问。

        假设学生在学校网站上只被授权查看他们自己的成绩单。一名学生可能试图通过修改网站URL来访问其他学生的成绩信息。这种未经授权的访问尝试就是授权不足攻击的一个例子。

        4.虚拟化攻击非常技术性，但你能解释一下如何发动这种攻击吗？通过一个例子。

        虚拟化攻击是指利用云计算基础设施中虚拟化技术的漏洞或弱点进行攻击。例如，攻击者可能利用虚拟化平台的漏洞，通过一个虚拟机访问另一个虚拟机上的敏感数据，而这两个虚拟机在同一物理服务器上运行。攻击者可能会利用虚拟机监控程序（hypervisor）的漏洞或虚拟机之间的共享资源来实施这种攻击。

        5.什么是更高级别（非虚拟化）的攻击的例子？

        更高级别的攻击可能包括社会工程攻击、恶意软件攻击、网络钓鱼攻击等。例如，通过欺骗用户提供其凭据的方式来实施的网络钓鱼攻击就是一种非虚拟化的攻击。

身份和访问管理（IAM）

        身份和访问管理（IAM）用于控制对云和其他资源的访问。以下是教材中识别的四个主要组件：

• 认证（Authentication）：确定用户的授权。用户名和密码构成了传统的且仍在使用的凭据。但是，现代技术，如数字签名、数字证书、生物识别（指纹、人脸识别）、语音识别、唯一设备标识符（例如 MAC 地址）也可以被 IAM 系统用来验证凭据。
• 授权（Authorisation）：在验证了凭据后，确定和管理特定用户的访问权限。
• 用户管理（User management）：用户凭据的创建和权限分配。这包括简单的功能，如重置密码和分配访问权限。它通常还允许创建分层结构，以便可以将用户分配给一个或多个具有单独分配授权的组。
• 凭据管理（Credential management）：通过为单个凭据和组制定访问资源的规则，管理对所有资源的实际访问。

        IAM 机制允许其用户将策略和控制分配给特定资源。这使得 IAM 用户可以对云资源进行精细的管理。

单点登录（SSO）

        在使用互联网时，您将会遇到记住许多用户名和密码的问题。在许多帐户上使用相同的密码是一个安全问题，因为一旦一个帐户被入侵，所有帐户都会变得容易受到攻击。另一方面，记住许多不同的密码和帐户名是不可能的。写下帐户名和密码是一个安全问题。单点登录（SSO）允许一个云代理使用一组凭据登录多个 IT 系统，包括云服务。

        SSO 本身并不能完全解决前面部分提到的安全问题。如果 SSO 凭据被泄露，那么攻击者就可以访问所有聚合在 SSO 凭据下的帐户。但是，SSO 有许多可用性优势，这可能导致 SSO 凭据比许多单独登录更安全。

基于云的安全组（Cloud-Based Security Groups）

        安全组是一种安全机制，用户属于一个或多个组，这些组只被允许访问被该组标记为可访问的 IT 资源。作为一个简单的例子，Unix 操作系统为系统中的每个文件分配了三个安全级别。用户、组和全局访问，其中用户是文件的所有者，分配了组的用户可以访问文件，全局访问适用于所有用户。基于云的系统更复杂，因为在基于云的系统中存在重叠的信任边界。在多租户应用程序中，所有用户都可以访问系统文件，但只有个别客户端组才能访问自己的数据。

        在基于云的系统中，我们使用分段的概念来分隔用户和组。分段可以在低级别使用，例如在机器虚拟化和网络分段中。它也可以应用在更高级别，例如数据分段和多租户系统中。

        基于云的安全组也可以以层次结构方式应用。从云提供商的角度来看，云客户是一个安全组。但是，云客户可以为客户的不同用户分配不同的安全组。IAM 系统（见上文）被设计成允许用户这样做。

加固的虚拟服务器镜像（Hardened Virtual Server Image）

        加固的虚拟服务器是一种经过验证的系统镜像，可以部署到虚拟机中。当我们说“经过验证”时，我们指的是云提供商在多次部署中使用了此镜像，或者对此镜像进行了广泛的测试。这意味着任何安全或其他故障都已通过解决和解决出现的问题而消除。这样的镜像将具有某些软件版本，应用了某些补丁，并具有已知的配置。

        加固的虚拟服务器镜像的优势在于客户和云提供商可以确信该镜像将按照规定的方式执行。该镜像将根据先前提到的所有攻击进行测试。例如，当我们在实验室会话中创建 Amazon EC2 实例时，Unix 版本是由亚马逊配置的某个 Unix 版本，并安装了某些 Unix 软件的版本。由于该镜像被“加固”，因此它将不包含在完整的 Unix 发行版中可用的所有软件。

活动 9

        阅读链接（AWS IAM，Cloudflare IAM）然后回答以下问题：

        1.IAM 系统中认证和授权之间的区别：

- 认证（Authentication）是确认用户身份的过程，验证用户是否具有访问权限。它验证用户的身份，以确定用户是谁。
  
- 授权（Authorization）是在用户经过认证后，确定用户可以访问哪些资源和执行哪些操作的过程。它确定用户具有的权限和访问级别。

        2.IAM 系统中用户管理和凭证管理之间的区别：

- 用户管理（User Management）涉及创建、修改和删除用户账户，以及分配用户的权限和角色。它负责处理用户的身份和权限。

- 凭证管理（Credential Management）管理用户用于身份验证的凭据，如用户名、密码、数字证书等。它负责确保凭证的安全性和有效性。

        3.为什么 SSO 不能完全解决与凭证相关的安全问题？

        尽管单点登录（SSO）可以简化用户的登录过程，但它并不能解决所有与凭证相关的安全问题。如果单点登录的凭证被泄露，攻击者就可以访问与该凭证相关联的所有帐户，从而造成严重的安全风险。因此，虽然SSO提供了方便，但在安全性方面仍然需要其他层面的保护措施。

        4.考虑作业提交系统。哪些安全组是必要的？

        在作业提交系统中，以下安全组可能是必要的：

1. 学生组：用于管理学生账户和权限，确保他们只能访问他们自己的作业和相关资源。
2. 教师组：用于管理教师账户和权限，使他们能够查看和评估学生提交的作业。
3. 管理员组：拥有最高权限，用于管理系统整体配置、用户账户和权限设置等。

        5.为什么加固的虚拟服务器镜像比通常的最新系统发行版安装了更少的软件？

        加固的虚拟服务器镜像通常经过了严格的安全审查和测试，只安装了最必要的软件和组件，以减少系统的攻击面。相比之下，通常的最新系统发行版可能会安装许多预装软件和组件，其中一些可能是不必要的或潜在的安全风险。因此，加固的虚拟服务器镜像相对更安全，因为它们减少了潜在的攻击向量，并且已经针对已知的漏洞和风险进行了防护。