什么是云安全?
云安全 (Cloud security ),是指基于云计算商业模式应⽤的安全软件,硬件,⽤户,机构,安全云平 台的总称。
● “云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。
● 云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中的木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
● 整个互联网,变成了一个超级大的杀毒软件,这就是云安全的宏伟计划。
原安全和传统安全有什么区别?
- 网络边界不可见。云计算通过引入虚拟化技术,将物理资源池化,按需分配给用户,这里涉及到计算虚拟化、网络虚拟化、存储虚拟化。
- 云服务商为用户提供虚拟化实体,对用户而言,以租用的形式使用的虚拟主机、网络和存储,传统的网络边界不可见。
- 在云计算中,传统的安全问题依然存在,诸如拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、SQL注入和跨站脚本攻击等。
云渗透和常规的渗透是没有任何区别的,只是词变了,本质是一样,也会存在常规的SQL注入、弱口令、文件上传、网站备份泄露等等,除了常规的web漏洞也会随着新技术带来新的风险如Access Key泄露利用、配置不当利用。
云计算概念
云计算概念最早是由Google前首席执行官,埃里克*施密特,在2016年搜索引擎大会上首次提出的一种构想,而“云计算”就是这种构思的代名词,云计算以虚拟化为基础,以网络为中心,为用户提供安全、快速、便捷的数据存储和网络计算服务,包括所需要的硬件、平台、软甲及服务等资源,尔而提供资源的网络就被称为“云”。
虚拟化与云计算的区别:云计算是一种服务模式,虚拟化是一种技术。
云计算分类
业务把云分为了五个大类:公有云、私有云、虚拟化软件、容器虚拟化、云桌面
- 公有云
-
- 本质是一种资源共享服务
-
-
- 国内主要的代表厂商:阿里、腾讯、华为
- 国外主要代表:亚马逊、微软云、Google云
-
- 私有云
-
- 企业转有资源,特点是安全性与私有化。
- 混合云
-
- 公有云和私有云混合。
既要使用公有云,又要使用私有云,自己的私有云部分业务和公有云有交接,这部分成为混合云。例如:web网站或者医院的挂号系统都可以放公有云,但医院的一些数据库、一些重要的东西还是放在自己内部网络。
- 虚拟化软件
-
- Vmware
- KVM
- QEMU
- 容器虚拟化
-
- Dockers
- K8s
- 云桌面
云计算架构
laaS | Paas | Saas |
服务器、虚拟机 | 中间件&运行库 | 应用软件 |
磁盘柜 | 数据库 | 中间件&运行库 |
计算机网络 | 操作系统 | 数据库 |
机房基础设施 | 服务器、虚拟机 | 操作系统 |
磁盘柜 | 服务器、虚拟机 | |
计算机网络 | 磁盘柜 | |
机房基础设施 | 计算机网络 | |
机房基础设施 |
- laaS(基础架构即服务)
-
- 主要提供:服务器、存储、网络、负载均衡器、防火墙等基础服务
- 阿里云ECS
- PaaS(平台即服务)
-
- 主要提供:数据库、开发环境、Heroku(云平台开发环境)、Cloud Foundry
- 公有云是的Redis、RDS、OSS、Docker等
- SaaS(软件及服务)
-
- 优点
-
-
- 减少暗转、繁琐升级操作、统一管理。
-
公有云攻击知识点
管控系统 | 管控系统 | 运营系统 |
网关系统 | 云资源管理控制中心 | 用户管理 |
逻辑服务 | Server、运维管控、API | 监控系统 |
控制器 | 实例 | 计费系统 |
调度系统 | 虚拟机 | 资源管理 |
生产系统 | 物理集群 | 运维管理 |
存储系统 | 容灾系统 | |
底层云组件 |
公有云攻击分为两类:
- 针对租户的攻击
-
- 云平台API相关特性
- 针对云平台的渗透
-
- 各类中间件组件
- 阅读产品文档、阅读架构文档、了解相关操作手册,了解产品功能和架构模块
- 使用的开源组件列表漏洞
- 租户泄露的AK
- 云主机的应用漏洞(SSRF、RCE、本地文件读取等等常规漏洞)
- 云服务公开API的利用:
阿⾥云 :https://api.aliyun.com
AWS: https://docs.aws.amazon.com/
GCP: https://cloud.google.com/apis
Azure: https://docs.microsoft.com/en-us/rest/api/azure/
腾讯云 :https://cloud.tencent.com/document/api
- 云产品进行文件处理属性时引发漏洞
-
- 机器学习系统支持自定义函数
- 大数据计算引擎支持udf
- 沙箱绕过等
- 攻击中间件服务
-
- 攻击消息队列:Kafka、Active MQ、Rabbit MQ
- 分布式服务框架:Dubbo、Zookeeper、TAF
- 监控或发布服务:hue、sqlunk、cacti、jenkins、zabbix、elasticsearch
- 数据库产品配置
-
- python、java、nodejs沙箱绕过
- mysql/mssql/postgresql等
- 开源产品已知问题
-
- redis
- mongodb
- hadoop
- 云产品的默认配置
-
- oss文件存储服务,默认设置为开放,导致任意文件下载
- 端口默认对外0.0.0.0/0公网开放
- 虚拟化逃逸
-
- KVM-QEMU逃逸
私有云攻击知识点
前端展示层 | 接入设备:PC端、大屏、移动终端、第三方应用 | 前端架构:JS、CSS、React、Fluter、HTML5、Node.js、AJAX | ||
访问控制层 | Nginx负载均衡反向代理、API网关、权限控制、入侵检测、防火墙 | |||
服务应用层 | 基础服务:云资源池、网络资源、网络服务、平台运维、平台管理、硬件设施、高级功能、vCenter | 数据存储:MySql集群、Redis集群、Mango DB集群、分布式文件存储 | 中间件:rabbitmq集群、 监控组件:Prometheus | 日志监控ELK:elasticsearch、logstash、kibana |
资源调度层 | kubernetes:kubelet、Api-Server、Docker、Etcd、Kubectl、Kubelet-proxy、kube-scheduler、kube-Controller-manger | |||
基础服务层 | 虚拟网络:openswitch、Ovn-northd、ovn-controller、vyos router 存储服务:localfs、nfs、glusterfs、uus qemu、kvm、libvirtd、docker bare metal、vcenter | |||
运行资源层 | x86服务器、交换机、路由器 |
- 缺乏有效隔离,可2横向攻击
-
- 私有云部署在企业的业务生产网,云的底座网络、物理设备与业务网络在同一安全域,大多时候缺乏有效隔离
- 使用开源组件列表漏洞
-
- 私有云的云产品属于定制开发,使用大量第三方组件,且存在大量应用层的漏洞
- 虚拟化逃逸取得宿主机控制权
-
- 通过获取应用服务器权限
- 常规应用漏洞(shiro)
-
- 其它与公有云相同
云桌面攻击知识点
- 暴露在互联网的登录界面,弱口令
- 虚拟化网关、网络相关自身存在高危漏洞
-
- citrix ADC&netsaler远程命令执行漏洞
- citrix NetScaler Gateway堆溢出漏洞
- 应用访问控制策略宽泛,内用于横向渗透攻击
- 桌面池资源存在虚拟化逃逸漏洞