了解云攻击向量——从 laaS 和 PaaS 视角

1 关于云安全联盟 云安全联盟（CSA）是一个非营利组织，旨在促进和推广云计算的最佳实践，并提供行业内的安全保证。此外，云安全联盟提供云计算使用的教育，以帮助确保其他形式的计算安全。云安全联盟是由一个行业从业者、企业、协会和其他主要利益相关者组成的广泛联盟领导。。欲了解更多信息，请访问www.cloudsecurityalliance.org，并关注我们的Twitter账号@cloudsa。 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)本文商标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有3 致谢 报告中文版支持单位 腾讯云鼎实验室成立于2016年，是腾讯安全旗下的顶级实验室之一。秉承“一切以用户价值为依归”的理念，云鼎实验室坚持研究创新和实践落地并重的技术路线，专注于云安全技术研究和创新工作，在大规模云安全防护和治理、云原生安全技术、密码学和云数据安全、容器和虚拟化安全、硬固件和基础设施安全等多个领域展开技术研究和产品创新工作。云鼎实验室同时也负责腾讯云平台自身的安全建设、防护和治理工作，通过安全治理体系建设、持续性安全攻防对抗、大数据安全运营平台、和云原生安全托管服务（Cloud-MSS）持续保障腾讯云平台及云上数百万租户的安全。 腾讯是CSA全球会员单位，支持该报告内容的翻译，但不影响CSA研究内容的开发权和编辑权。 主要贡献专家： 李鑫、高瑞强 报告英文版编写专家 贡献者： DinaAgafonovDanielBegimherTonyDaskaloGidiFarkashMosheFerberMichaelRozaYuvalSegevOmriSegevMoyalDanaTsymbergZurUlianitzky审校者： OrenElimelechEyalEstrinPatrickGawChrisKirschkeMauricioMendozaClavero VenuReddyEitanSatmaryYuvalSinayPetervanEijkKobiZvirsh CSA全球员工： FrankGuancoClaireLehnertStephenLumpe 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正! 联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 序言 随着云计算技术的迅猛发展，越来越多的组织将数据和业务迁移到云平台上，享受着云计算带来的弹性、可扩展和便捷的优势。在云环境中，IaaS（基础设施即服务）和PaaS（平台即服务）作为两种常见的云服务模型，为组织提供了强大的托管应用程序和基础设施的能力。然而，云计算环境也面临着来自不断演化的网络威胁和攻击的挑战。 本白皮书旨在针对IaaS和PaaS服务模型，详细梳理常见的云攻击向量，并通过与相关的CSA研究和其他威胁模型对应，将这些攻击向量一一列举出来。本文包含八个与IaaS和PaaS相关的攻击向量，涵盖了工作负载、存储等方面的错误配置或漏洞。 我们意识到，尽管风险、威胁和漏洞的数量和重要性不断上升，但使用的攻击向量相对稳定。因此，通过深入了解这些攻击向量，组织可以更好地理解针对云托管应用程序和基础设施的常见攻击方式，并明确在控制和安全工作中需要重点关注的领域。 相信通过阅读本白皮书，组织将能够深入了解这些重要的云攻击向量，并为保护其在云环境中的应用程序和基础设施做出明智的决策。我们希望本白皮书对于提高云安全意识、加强防御措施以及规避潜在威胁带来积极的促进作用。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢4 序言6 简介8 本文档的目的8 文件结构和范围8 目标受众9 IaaS和PaaS云攻击向量9 1：可利用的工作负载11 2：工作负载权限过高14 3：不安全的密钥、凭证和应用密钥17 4：可利用的身份验证或授权21 5：未经授权访问对象存储25 6：第三方跨环境/账户访问29 7：不安全/未加密的快照及备份33 8：受损镜像37 结语40 延伸阅读41 简介 我们在不断加深对云上风险和威胁的认识与发展过程中，CSA顶级威胁等工作组以及其他组织为我们对这一主题的了解和理解作出了巨大贡献。我们尽管已经记录了许多对业务产生广泛影响的风险和威胁，但还是发现其中许多风险和威胁只利用到了少量的攻击向量。这正是本项研究的主题所在。 为了进行本项研究，我们首先回顾了近期大量IaaS与PaaS相关的安全事件，并将这些事件的细节细化为实际利用的攻击向量。我们使用CSA顶级云安全威胁案例、MITRE相关分析以及之前对云事件的研究，尽可能多的分析安全事件。 在我们制定了完整的向量列表后，我们邀请了一批在云攻击方面经验丰富的专业人士。我们利用我们的集体经验将不同的个体分组，成为一组八个的主要攻击向量，我们发现它们在各种攻击场景中都非常有效。 本文档的目的 本研究的目标是梳理常见的IaaS/PaaS攻击向量并逐一列举，与相关的CSA研究和其他威胁模型对应。通过阅读本文档，组织将更好地了解针云托管应用程序和基础设施的攻击中常用攻击向量，并制定在控制和安全工作上应该重点关注的领域。 文件结构和范围 该文档由八个与IaaS/PaaS相关的攻击向量组成。每个向量章节包括两部分： •主要部分包括以下内容：向量的定义和描述、利用方式、如何避免或减轻该向量的关键要点、利用该向量的示例 •CSA和非CSA框架的攻击向量映射，在本项研究中将会提供更多深入的见解以及相关控制措施。映射包括： •将攻击向量映射到MITRE中的相关技术或缓解措施 •将攻击向量映射到责任共担模型-将相关攻击向量映射到不同责任方：云服务提供商(CSP)、云服务客户(CSC)或共享责任 •将攻击向量映射到CSA安全指南（第4版）中的相关领域，添加有关向量的更多知识 •将攻击向量映射到CSA云控制矩阵(CCM)版本4.0.X，识别与向量相关的控制措施。X版本标签标记新的控制措施映射，因此我们的文档与4.0版本相关 •将攻击向量映射到STRIDE威胁模型，添加有关向量的更多知识 •将攻击向量映射到CSA顶级威胁研究，帮助识别相关的风险和威胁 目标受众 本文档的目标受众是： •对想要了解更多关于实际攻击向量信息感兴趣的，负责云环境安全的GRC专业人员和审计人员 •正在构建IaaS/PaaS环境，并寻求安全帮助的安全专业人员、DevOps和 DevSecOps专业人员、软件和安全架构师以及IT安全人员 IaaS和PaaS云攻击向量 在深入研究攻击向量的详细信息之前，了解IaaS和PaaS等不同的云服务模型非常重要。 •IaaS（基础设施即服务）：在IaaS环境中，客户对基础设施和操作系统具有更多的控制权。这意味着攻击面更大，因为客户需要负责保护自己的虚拟机、存储和网络。在IaaS环境中，常见的攻击向量通常针对虚拟机、存储和网络安全设置中的错误配置或漏洞。 •PaaS（平台即服务）：在PaaS环境中，客户对软件和应用程序代码拥有更多的控制权，但对基础设施的控制权较少。攻击面与IaaS类似，但更加关注应用程序代码和配置中的漏洞。 网络攻击向量是指攻击者用于访问计算机或网络服务器以传递恶意成果的路径或手段。这些向量可以包括多种策略，例如恶意软件、网络钓鱼和社会工程学等，旨在利用目标系统的脆弱点和漏洞。 在云环境中，网络攻击向量可以以多种方式呈现。举例来说，攻击者可能使用网络钓鱼电子邮件诱使用户点击恶意链接或输入其登录凭据。此外，攻击者还可利用云服务 中的漏洞（如错误配置的权限）获取敏感数据的访问权限。 网络攻击向量与脆弱点或漏洞之间的区别在于它们的性质。脆弱点或漏洞是指可以被威胁利用的资产或存在的控制弱点。 另一方面，网络攻击向量是攻击者利用这些脆弱点或漏洞的特定方法或技术。 例如，云服务中的漏洞可能是配置错误的防火墙，允许未经授权的网络访问。在这种情况下，网络攻击向量可能是SQL注入攻击，攻击者使用特制的SQL查询访问网络上的敏感数据。 软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)的攻击向量区别在于客户对环境的控制级别，而攻击向量存在于所有级别在云堆栈中，服务模型决定由谁负责及缓解。 这项研究的重点是：研究针对IaaS和PaaS消费者的攻击向量。IaaS环境中的攻击向量通常是针对虚拟机、存储和网络安全设置中的错误配置或漏洞。 在PaaS环境中，客户对软件和应用程序代码有着更多的控制权，但对基础设施的控制权较少。PaaS环境中的攻击面与IaaS类似，但更关注应用程序代码和配置设置中的漏洞。 除了通过用户凭证之外，SaaS的消费者几乎无法控制云攻击向量。因此，在本研究中，大部分缓解工作将由SaaS提供商负责。然而，SaaS中还存在其他攻击向量，例如利用Web应用程序中的漏洞，这是SaaS提供商的责任。 需要注意的是，这些攻击向量并不是相互排斥的，攻击者可能会使用多种策略组合，危害目标。因此，客户需要遵循安全最佳实践，并应用多层安全控制措施降低网络攻击带来的风险。 1：可利用的工作负载 定义 根据CSA安全指南（第4章，7.4节），CSA将工作负载定义为“处理单元，可以在虚拟机、容器或者其他的抽象中”。可利用的工作负载是一种攻击向量，详细描述了攻击者利用工作负载的漏洞，在云环境中获取初始访问的能力。这些漏洞可以是已知的漏洞，也可以是零日漏洞。如果不加以缓解，这种对云环境的初始访问可能会增加与攻击向量相关的风险。这种攻击方法的一个常见影响是利用它运行加密货币挖矿或勒索软件攻击。在其他情况下，利用先进的技术，可以使用附加或存储的云凭据在环境中移动，获得数据访问权限，或在云环境中提升权限和横向移动。 描述 可利用的工作负载是指由于云上网络配置错误，从而对内部或外部攻击者提供访问权限的任何虚拟机或容器。如果工作负载具有公网IP地址，或者攻击者已经能够访问内部环境，那么可达性就会实现。“可利用的工作负载”表示该资产容易受到配置错误的影响，存在已知的常见漏洞（CVE）和应用程序漏洞等。通过结合访问权限和现有漏洞，攻击者可以成功获取访问权限、控制权或利用云工作负载来进一步实施攻击。在这种攻击向量中，受损的资产可能会导致攻击者在云环境中实现持久化、获得数据访问权限或进行权限提升。接下来，攻击者可以利用该资产加强其访问和控制能力，执行横向移动操作并寻找其他目标资产。 要点 为了强化云环境，应该在攻击路径的所有节点上实现安全保护。 •网络：尽可能限制网络访问，最好是私有子网并使用安全组和微隔离。使用IP限制，专门设定无类别域间路由(CIDR)范围，并开放对选定端口的访问，而不是过于宽泛的端口访问范围。只要有可能，就使用安全屏障保护对外开放的服务，例如负 载均衡器、API网关和/或Web应用程序防火墙(WAF)。 •漏洞：定期扫描所有工作负载以检测已知漏洞，并通过建议的补救措施修复。建议专门针对组织的云环境执行安全评估，确保发现未知风险。请记住，不同的工作负载需要不同的漏洞扫描工具（即容器可能需要与虚拟机不同的工具）。应使用自动 化工具（用于检测开源软件包中的漏洞的软件组合分析工具、用于检测代码中的漏洞的SAST/DAST/IAST工具【取决于应用程序类型】等）执行漏洞扫描，并将其嵌入到持续集成/持续交付(CI/CD)流程。 •身份和访问管理(IAM)：所有对资源的访问都必须经过身份验证和授权。遵循最小权限或已知权限的原则，并向工作负载提供所需的最低权限，使工作负载能够执行指定的任务并将