2019云安全威胁报告.pdf

2019云安全威胁报告 腾 讯 安 全 云 鼎 实 验 室腾 讯 安 全 云 鼎 实 验 室 专 注 云 安 全 技 术 研 究 和 云 安 全 产 品 创 新 工 作 ； 负 责 腾 讯云 安 全 架 构 设 计 、 腾 讯 云 安 全 防 护 和 运 营 工 作 ； 通 过 攻 防 对 抗 、 合 规 审 计 搭 建 管控 体 系 ， 提 升 腾 讯 云 整 体 安 全 能 力 。 GeekPwn（ 极 棒 ）是 全 球 首 个 关 注 智 能 生 活 的 安 全 极 客 赛 事 平 台 、 首 个 探 索 人 工 智 能 与 专 业 安全 的 前 沿 平 台 ， 由 顶 尖 信 息 安 全 团 队 碁 震 （ KEEN） 发 起 主 办 。 GeekPwn 以 “安 全的 科 技 、 安 全 的 生 活 ”为 宗 旨 ， 为 安 全 极 客 提 供 展 示 自 己 才 能 的 舞 台 。GeekPwn 旗 下 的 极 棒 实 验 室 （ GeekPwn Lab） 致 力 于 包 括 基 础 系 统 与 协 议 、移 动 支 付 、 物 联 网 以 及 人 工 智 能 安 全 等 新 兴 和 未 来 技 术 应 用 领 域 的 安 全 研 究 ， 并依 托 GeekPwn 平 台 帮 助 智 能 生 态 产 品 提 升 安 全 性 。2019云安全威胁报告目 录1 概 述 .12 云 安 全 威 胁 全 景 .23 云 安 全 责 任 共 担 .84 基 础 攻 击 面 .104.1 网 络 攻 击 .104.1.1 流 量 攻 击 .104.1.2 BGP 劫 持 . 134.2 主 机 安 全 .144.2.1 传 统 主 机 攻 击 方 法 .154.2.2 虚 拟 化 穿 透 .194.3 应 用 程 序 利 用 .205 数 据 威 胁 .225.1 数 据 泄 露 .235.2 数 据 丢 失 .265.3 隐 私 数 据 攻 击 .286 身 份 验 证 和 访 问 管 理 .296.1 账 户 攻 击 .306.2 内 部 威 胁 .327 云 中 的 安 全 管 理 .337.1 云 资 源 滥 用 攻 击 .348 微 服 务 及 serverless 安 全 .368.1 微 服 务 威 胁 .378.2 Serverless 威 胁 .389 新 兴 安 全 威 胁 .409.1 Intercloud 安 全 .409.2 行 业 安 全 趋 势 .41第 1 页 共 41 页2019云安全威胁报告1 概 述云 计 算 结 合 多 种 现 有 技 术 ， 将 各 种 硬 件 资 源 ， 宽 带 资 源 ， 以 及 虚 拟 化 技 术 聚集 在 一 起 ， 创 造 一 种 云 计 算 的 生 态 系 统 ， 向 云 计 算 服 务 使 用 方 提 供 一 种 按 需 提 供IT 资 源 并 解 决 高 峰 使 用 的 解 决 方 案 。 这 种 解 决 方 案 使 用 户 能 够 使 用 最 低 的 成 本 获得 满 足 其 自 身 需 求 的 资 源 配 置 。 更 重 要 的 是 ， 用 户 在 使 用 云 计 算 解 决 方 案 的 同 时 ，还 可 以 根 据 云 服 务 提 供 商 提 供 的 相 关 服 务 ， 购 买 所 需 的 安 全 服 务 或 者 其 他 满 足 其业 务 需 求 的 微 服 务 ， 更 大 程 度 的 减 少 其 所 需 要 处 理 的 或 者 因 经 验 不 足 而 忽 略 的 安全 问 题 或 者 IT 问 题 。随 着 云 计 算 解 决 方 案 优 势 的 体 现 ， 越 来 越 多 的 用 户 选 择 将 其 业 务 上 云 ， 而 云计 算 服 务 提 供 商 有 更 广 阔 的 市 场 。 与 此 同 时 ， 云 计 算 所 面 临 安 全 问 题 也 日 益 增 多 ，除 了 传 统 安 全 问 题 外 ， 也 面 临 云 计 算 场 景 所 带 来 的 新 的 安 全 挑 战 。 根 据 预 测 数 据来 看 （ 如图1-1 所 示 ） ， 到 2021 年 ， 全 球 公 有 云 收 入 预 测 将 达 到 2783 亿 元 ，云 管 理 和 安 全 服 务 收 入 预 测 也 将 达 到 163 亿 元 ， 与 2017 相 比 ， 同 比 增 长 87.36%。第 2 页 共 41 页2019云安全威胁报告图1-1全球公有云服务收入预测1云计算代表一种新的计算模型，云计算解决方案也是一种新型解决方案。因此如何实现所有级别（例如，网络，主机，应用程序和数据级别）的安全性存在很大的不确定性，这种不确定性决定了安全是云计算需要解决的头等大事。随后的章节将结合现有情况说明云上安全威胁和攻击趋势。2 云 安 全 威 胁 全 景在 产 业 互 联 网 的 推 动 下 ， 云 计 算 技 术 快 速 、 创 新 发 展 ， 云 服 务 提 供 商 向 用 户提 供 多 元 、 多 层 次 的 不 同 服 务 ， 同 时 由 于 云 技 术 本 身 共 享 的 特 性 ， 内 部 各 层 次 有1gartner/en/newsroom/press-releases/2018-09-12-gartner-forecasts-worldwide-public-cloud-revenue-to-grow-17-percent-in-2019第 3 页 共 41 页2019云安全威胁报告相 互 关 联 ， 暴 露 在 公 众 视 线 的 资 产 、 服 务 、 接 口 更 多 ， 影 响 的 用 户 也 更 多 ， “云 ”的 安 全 问 题 被 提 升 到 至 关 重 要 的 位 置 。在 传 统 的 家 用 网 络 或 企 业 网 络 中 ， 攻 击 者 会 根 据 攻 击 目 标 暴 露 的 资 产 和 服 务情 况 ， 自 外 向 内 逐 层 进 入 ， 使 用 相 对 固 定 的 攻 击 路 径 。 在 云 平 台 上 ， 传 统 网 络 架构 中 的 DDoS、 入 侵 、 病 毒 等 安 全 问 题 是 常 态 问 题 ； 与 此 同 时 ， 针 对 云 平 台 架 构的 虚 拟 机 逃 逸 、 资 源 滥 用 、 横 向 穿 透 等 新 的 安 全 问 题 也 层 出 不 穷 ； 而 且 ， 由 于 云服 务 成 本 低 、 便 捷 性 高 、 扩 展 性 好 的 特 点 ， 利 用 云 提 供 的 服 务 或 资 源 去 攻 击 其 他目 标 的 也 成 为 一 种 新 的 安 全 问 题 。 根 据 腾 讯 云 安 全 团 队 的 情 报 数 据 显 示 ， 云 资 源作 为 攻 击 源 的 比 例 在 所 有 国 内 攻 击 源 中 已 接 近 一 半 （ 如图2-1 所 示 ） 。图2-1攻击来源中云资源占比（国内）在 云 计 算 的 生 态 系 统 中 ， 云 服 务 提 供 商 使 用 虚 拟 化 技 术 将 计 算 资 源 （ CPU，存 储 ， 网 络 ， 内 存 ， 应 用 程 序 堆 栈 和 数 据 库 ） 抽 象 ， 使 之 成 为 共 享 的 资 源 池 ， 供云 服 务 使 用 者 通 过 标 准 化 方 法 透 明 地 使 用 这 些 资 源 。 虚 拟 化 技 术 可 以 通 过 合 理 的配 置 ， 为 所 有 云 服 务 使 用 者 （ 也 就 是 租 户 ） 提 供 可 扩 展 的 共 享 资 源 平 台 来 支 持 多第 4 页 共 41 页2019云安全威胁报告租 户 云 业 务 模 型 ， 并 为 每 一 个 租 户 提 供 专 用 的 资 源 视 图 。 从 公 有 云 角 度 来 看 ， 虚拟 化 技 术 使 云 服 务 资 源 在 各 方 面 （ 例 如 ， 操 作 系 统 ， 存 储 ， 数 据 库 ， 应 用 程 序 ）透 明 显 示 为 独 立 资 源 ， 提 供 给 云 服 务 使 用 者 按 需 选 择 使 用 或 者 在 必 要 时 候 扩 展 使用 。 在 云 计 算 生 态 环 境 下 ， 暴 露 给 攻 击 者 的 信 息 表 面 看 与 传 统 架 构 中 基 本 一 致 ，但 是 由 于 云 生 态 环 境 下 虚 拟 化 技 术 、 共 享 资 源 、 相 对 复 杂 的 架 构 、 以 及 逻 辑 层 次的 增 加 ， 导 致 可 利 用 的 攻 击 面 增 加 ， 攻 击 者 可 使 用 的 攻 击 路 径 和 复 杂 度 也 大 大 增加 。图2-2云平台攻击路径全景模型如图2-2 所 示 ， 显 示 了 云 生 态 环 境 下 攻 击 者 可 以 选 择 利 用 的 潜 在 攻 击 路 径 。第 5 页 共 41 页2019云安全威胁报告如 图 所 示 的 八 条 纵 向 攻 击 路 径 ， 是 指 恶 意 攻 击 者 从 Internet 环 境 下 可 能 攻 击云 租 户 和 平 台 （ 可 能 是 云 平 台 的 底 层 资 源 、 管 理 软 件 、 管 理 界 面 、 服 务 器 集 群 等 ）的 攻 击 路 径 ， 具 体 的 路 径 包 括 ：1) 裸 金 属 服 务 器 管 理 接 口 ：潜 在 攻 击 者 通 过 裸 金 属 服 务 开 放 的 IPMI 等 管 理 接 口 存 在 的 漏 洞 和 缺 陷 ， 控制 服 务 器 底 层 硬 件 ， 并 进 一 步 利 用 带 外 管 理 网 络 横 向 扩 展 ， 作 为 跳 板 访 问 云 管 理和 控 制 平 台 的 内 部 接 口 ， 尝 试 对 平 台 和 其 他 租 户 发 起 攻 击 ；2) 租 户 虚 拟 机 逃 逸 ：潜 在 攻 击 者 通 过 租 户 应 用 的 数 据 库 、 web 等 应 用 程 序 漏 洞 ， 进 入 云 服 务 使 用者 （ IaaS 平 台 的 租 户 所 拥 有 的 虚 拟 机 实 例 ） 的 操 作 系 统 ， 并 进 一 步 通 过 潜 在 的 虚拟 化 逃 逸 漏 洞 进 入 云 资 源 底 层 的 Hypervisor， 进 而 控 制 云 平 台 底 层 资 源 并 进 行 横向 扩 展 ；3) 独 立 租 户 VPC 实 例 模 式 的 容 器 和 微 服 务 网 络 攻 击 ：潜 在 攻 击 者 通 过 微 服 务 管 理 系 统 的 脆 弱 性 或 容 器 安 全 漏 洞 ， 进 入 云 服 务 提 供商 所 使 用 的 虚 拟 机 实 例 操 作 系 统 ， 随 后 进 一 步 通 过 潜 在 的 虚 拟 化 逃 逸 漏 洞 进 入 云资 源 底 层 的 Hypervisor， 进 而 控 制 云 平 台 底 层 资 源 并 进 行 横 向 扩 展 ；4) 共 享 集 群 模 式 容 器 和 微 服 务 网 络 攻 击 ：潜 在 攻 击 者 通 过 容 器 逃 逸 或 微 服 务 组 件 漏 洞 ， 直 接 控 制 物 理 服 务 器 执 行 恶 意操 作 或 进 行 横 向 扩 展 ；5) SaaS 服 务 共 享 集 群 模 式 攻 击 ：第 6 页 共 41 页2019云安全威胁报告潜 在 攻 击 者 通 过 云 服 务 提 供 商 所 提 供 的 SaaS 类 服 务 能 够 使 用 的 API、 中 间件 、 数 据 库 等 漏 洞 ， 直 接 逃 逸 或 越 权 访 问 进 入 提 供 服 务 的 底 层 服 务 器 集 群 ， 执 行恶 意 操 作 ， 窃 取 数 据 或 进 行 横 向 扩 展 ；6) 恶 意 攻 击 者 针 对 云 服 务 平 台 业 务 互 联 网 络 的 旁 路 攻 击 ：恶 意 攻 击 者 通 过 对 于 云 平 台 业 务 连 接 的 相 关 企 业 内 部 网 络 进 行 APT 攻 击 ，并 进 一 步 迂 回 横 向 扩 展 返 回 攻 击 云 平 台 业 务 、 运 维 或 管 理 网 络 ；7) 恶 意 攻 击 者 针 对 云 服 务 平 台 开 发 /运 营 网 络 的 旁 路 攻 击 ：恶 意 攻 击 者 通 过 对 于 云 平 台 连 接 的 运 维 或 管 理 内 部 网 络 进 行 APT 攻 击 ， 并进 一 步 迂 回 横 向 扩 展 返 回 攻 击 云 平 台 业 务 、 运 维 或 管 理 网 络 ；8) 针 对 云 用 户 控 制 台 界 面 或 开 放 式 API 的 攻 击 ：潜 在 攻 击 者 通 过 云 服 务 提 供 商 提 供 的 控 制 台 或 开 放 式 API， 利 用 控 制 台 应 用漏 洞 或 API 漏 洞 访 问 ， 对 租 户 资 源 或 平 台 进 行 攻 击 。在 攻 击 路 径 图 中 ， 还 存 在 一 系 列 横 向 扩 展 路 径 ， 横 向 扩 展 指 当 攻 击 者 成 功 获取 到 租 户 或 平 台 系 统 的 一 定 权 限 后 ， 利 用 网 络 或 共 享 资 源 进 行 横 向 迁 移 ， 进 一 步扩 大 攻 击 范 围 ， 获 取 其 他 租 户 和 系 统 的 资 源 、 数 据 或 访 问 权 限 的 情 况 ， 具 体 的 路径 包 括 ：1) 利 用 租 户 资 源 和 访 问 权 限 ， 在 VPC 内 进 行 横 向 迁 移 攻 击 ， 或 作 为 跳 板 攻击 其 他 用 户 ；2) 利 用 微 服 务 不 同 功 能 组 件 间 共 享 资 源 或 权 限 的 横 向 迁 移 ；3) 利 用 共 享 数 据 库 集 群 间 的 资 源 或 数 据 进 行 横 向 迁 移 ；4) 当 成 功 实 现 虚 拟 机 逃 逸 后 ， 利 用 Hypervisor 和 硬 件 层 面 的 控 制 面 网 络 和接 口 进 行 横 向 迁 移 ；第 7 页 共 41 页2019云安全威胁报告5) 利 用 网 络 虚 拟 化 的 共 享 资 源 、 威 胁 接 触 面 和 控 制 面 网 络 进 行 横 向 迁 移 ；6) 利 用 存 储 虚 拟 化 的 共 享 资 源 、 威 胁 接 触 面 和 控 制 面 网 络 进 行 横 向 迁 移 ；7) 利 用 云 平 台 管 理 面 /控 制 面 和 业 务 面 间 的 接 口 进 行 横 向 迁 移 ；8) BMC 等 固 件 破 坏 后 获 取 进 行 物 理 机 层 面 的 潜 伏 ， 或 利 用 底 层 硬 件 权 限 反向 获 取 Hypervisor OS 或 租 户 虚 拟 机 OS 的 数 据 和 系 统 访 问 权 限 。2019 年 10 月 24 日 ， GeekPwn 极 棒 与 腾 讯 云 鼎 实 验 室 联 合 推 出 了 全 球 首 个基 于 真 实 通 用 云 环 境 的 安 全 挑 战 赛 ， 通 过 一 套 模 拟 真 实 云 环 境 的 系 统 和 不 同 层 级 ，不 同 攻 击 场 景 的 赛 题 ， 覆 盖 了 云 平 台 上 多 数 可 能 的 路 径 攻 击 与 防 御 ， 供 选 手 进 行尝 试 挑 战 。 不 同 的 选 手 可 以 选 择 不 同 的 攻 击 入 口 点 进 入 云 环 境 ， 选 择 不 同 的 横 向渗 透 方 式 获 取 更 多 的 资 源 。比 赛 中 模 拟 真 实 云 环 境 的 攻 击 环 境 设 置 ， 攻 击 者 可 以 利 用 入 口 点 包 括 ： 云 服务 提 供 商 SaaS 服 务 的 Elastic Search、 Redis、 Mysql 等 常 用 的 数 据 库 漏 洞 、 云 服务 提 供 商 PaaS 服 务 的 docker 容 器 、 云 服 务 使 用 者 对 外 提 供 的 web 服 务 、 云 服务 使 用 者 拥 有 的 虚 拟 机 实 例 、 以 及 需 要 使 用 “0day”漏 洞 才 能 进 入 的 云 管 理 平 台web 页 面 、 云 母 机 操 作 系 统 、 以 及 底 层 的 虚 拟 机 管 理 程 序 。 攻 击 者 可 以 通 过 比 赛环 境 中 预 设 的 攻 击 入 口 ， 利 用 应 用 程 序 漏 洞 提 权 、 docker 溢 出 或 者 内 核 漏 洞 提升 权 限 等 任 一 入 口 进 入 ， 之 后 进 一 步 打 破 网 络 隔 离 探 查 其 他 虚 拟 机 实 例 的 可 能 漏洞 并 加 以 利 用 ， 达 到 从 不 同 的 入 口 点 开 始 ， 横 向 平 移 或 者 层 层 递 进 ， 进 而 实 现 最终 目 标 的 目 的 。比 赛 环 境 中 部 署 了 全 方 位 的 监 控 进 行 实 时 的 攻 击 路 径 、 攻 击 方 法 和 关 键 的 信息 获 取 ， 监 控 数 据 实 时 反 映 了 多 支 队 伍 的 不 同 攻 击 方 法 和 攻 击 路 径 ， 最 终 呈 现 的攻 击 路 径 结 果 （ 如图2-5 所 示 ） 也 说 明 ： 在 云 平 台 的 复 杂 环 境 下 ， 暴 露 的 攻 击