信息化觀察網(wǎng)

十多年的時(shí)間可以發(fā)生什么？2006年亞馬遜AWS率先試水云計(jì)算這一偉大的商業(yè)模式，現(xiàn)如今其全球市場(chǎng)規(guī)模已經(jīng)高達(dá)數(shù)千億美金。計(jì)算科學(xué)正在經(jīng)歷一場(chǎng)革命，在云計(jì)算發(fā)展歷程中，從關(guān)注虛擬化、分布式存儲(chǔ)等技術(shù)，到探索不同的服務(wù)模式，從飽受非議到大勢(shì)所趨，云計(jì)算終于等來了全面爆發(fā)的時(shí)間節(jié)點(diǎn)。

最直觀的變化體現(xiàn)在于，企業(yè)開始思考的問題不是「要不要上云？」，而是「如何上云？」

安全將成為云計(jì)算的新戰(zhàn)場(chǎng)

進(jìn)入2020年，產(chǎn)業(yè)互聯(lián)網(wǎng)持續(xù)推進(jìn)，5G、AI、云計(jì)算等新一代信息技術(shù)與應(yīng)用不斷深化，加速了各行業(yè)數(shù)字化和產(chǎn)業(yè)升級(jí)的進(jìn)程。對(duì)于各大云服務(wù)商而言，在新技術(shù)環(huán)境驅(qū)動(dòng)下都在試圖尋找突破口實(shí)現(xiàn)更大的市場(chǎng)目標(biāo)。

云計(jì)算的本質(zhì)是共享，你可以簡(jiǎn)單的理解為共享硬件；而共享經(jīng)濟(jì)的核心之一是信任，對(duì)于云計(jì)算用戶而言，信任是什么？是當(dāng)企業(yè)實(shí)現(xiàn)云上遷移之后，核心業(yè)務(wù)運(yùn)轉(zhuǎn)是否穩(wěn)定、數(shù)據(jù)是否會(huì)泄露？用現(xiàn)在比較火熱的一個(gè)詞概括，那這些都屬于云上安全問題。

在云計(jì)算發(fā)展之初，F(xiàn)orrester Research曾做過一項(xiàng)意向調(diào)查，51%的中小型企業(yè)之所以尚未使用云服務(wù)主要考慮就是安全性與隱私問題。即便是在未來5G、6G時(shí)代，只要云計(jì)算或者「云」的概念存在，這都會(huì)成為企業(yè)在選擇云相關(guān)業(yè)務(wù)時(shí)首要考慮的問題。

回顧2019年，谷歌、蘋果iCloud、Facebook等科技巨頭相關(guān)服務(wù)均發(fā)生過一次甚至多次大規(guī)模宕機(jī)；亞馬遜AWS也曾遭到嚴(yán)重的DDoS攻擊中斷服務(wù)持續(xù)數(shù)小時(shí)；還有那些公開暴露的云上數(shù)據(jù)存儲(chǔ)桶。這些已知的和未知的數(shù)據(jù)泄露、黑客攻擊、漏洞等關(guān)鍵詞在2019年一次次沖擊我們的眼球，也一次次在挑戰(zhàn)用戶對(duì)于云計(jì)算安全的信任。

在5G全面商用，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及云游戲等場(chǎng)景對(duì)于云服務(wù)的穩(wěn)定性提出了更高的要求。市場(chǎng)迎合需求，安全性、高可用性問題勢(shì)必將成為云服務(wù)商精益求精的重要方向。這也恰恰印證了Gartner在2017年給出的預(yù)測(cè)：

云安全最終會(huì)變?yōu)榧兇獾陌踩?，云服?wù)商會(huì)變成安全廠商。

云計(jì)算安全能力的比拼本質(zhì)是技術(shù)對(duì)壘

在云計(jì)算生態(tài)環(huán)境下，暴露給攻擊者的信息表面看與傳統(tǒng)架構(gòu)中基本一致，但是由于云生態(tài)環(huán)境下虛擬化技術(shù)、共享資源、相對(duì)復(fù)雜的架構(gòu)、以及邏輯層次的增加，導(dǎo)致可利用的攻擊面增加，攻擊者可使用的攻擊路徑和復(fù)雜度也大大增加。云安全能力的比拼最終還是聚焦于云服務(wù)商對(duì)于云平臺(tái)安全架構(gòu)上的設(shè)計(jì)把控，從下至上每一個(gè)環(huán)節(jié)都需要足夠的技術(shù)能力提供支持，才可以保證整個(gè)框架的穩(wěn)固性。

知識(shí)產(chǎn)權(quán)出版社i智庫最新發(fā)布的《中國互聯(lián)網(wǎng)云技術(shù)專利分析報(bào)告》提到，安全相關(guān)的專利無論是申請(qǐng)量還是授權(quán)量都遠(yuǎn)遠(yuǎn)領(lǐng)先于大數(shù)據(jù)、存儲(chǔ)等其他類別。側(cè)面印證，安全技術(shù)已經(jīng)成為各大互聯(lián)網(wǎng)企業(yè)互相比拼的重要資本。

在云技術(shù)相關(guān)所有專利申請(qǐng)企業(yè)中，騰訊申請(qǐng)量高達(dá)4899項(xiàng)，1892項(xiàng)已獲得授權(quán)，均領(lǐng)先于其他云服務(wù)商。這個(gè)結(jié)果讓筆者覺得有些意外，因?yàn)樵谠朴?jì)算市場(chǎng)，無論是入局時(shí)間還是現(xiàn)階段的市場(chǎng)份額占比，阿里云基本都是遙遙領(lǐng)先。

當(dāng)看到在云技術(shù)發(fā)明人團(tuán)隊(duì)規(guī)模排行中，騰訊云的技術(shù)發(fā)明人規(guī)模也遠(yuǎn)高于阿里云，筆者好像看出了點(diǎn)東西。雖然在市場(chǎng)份額上，阿里云要領(lǐng)先于其他競(jìng)爭(zhēng)對(duì)手，但包括騰訊云、百度、360等互聯(lián)網(wǎng)企業(yè)在云服務(wù)的專利及技術(shù)團(tuán)隊(duì)規(guī)模上已經(jīng)在有意追趕甚至超過阿里云。

那么，在云計(jì)算市場(chǎng)競(jìng)爭(zhēng)日益激烈的今天，圍繞“安全”這個(gè)兵家必爭(zhēng)之地，應(yīng)該關(guān)注哪些技術(shù)領(lǐng)域呢？

云時(shí)代的攻擊路徑

為了避免云平臺(tái)遭到攻擊，同時(shí)不讓云上的資源成為被黑客利用的工具，首先需要明確在現(xiàn)在的云環(huán)境下，存在哪些可能被利用的攻擊路徑。

在傳統(tǒng)的家用網(wǎng)絡(luò)或企業(yè)網(wǎng)絡(luò)中，攻擊者會(huì)根據(jù)攻擊目標(biāo)暴露的資產(chǎn)和服務(wù)情況，自外向內(nèi)逐層進(jìn)入，使用相對(duì)固定的攻擊路徑。在云平臺(tái)上，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中的DDoS、入侵、病毒等安全問題是常態(tài)問題;與此同時(shí)，也出現(xiàn)了針對(duì)云平臺(tái)架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新的安全問題;而且，由于云服務(wù)成本低、便捷性高、擴(kuò)展性好的特點(diǎn)，利用云提供的服務(wù)或資源去攻擊其他目標(biāo)也成為一種新的安全問題。根據(jù)最新發(fā)布的《2019云威脅安全報(bào)告》顯示，云資源作為攻擊源的比例在所有國內(nèi)攻擊源中已接近一半。

（《2019云威脅報(bào)告》中公布的“八橫八縱”的云上攻擊路徑）

根據(jù)騰訊安全和GeekPwn的研究，惡意攻擊者從Internet環(huán)境下可能攻擊云租戶和平臺(tái)（可能是云平臺(tái)的底層資源、管理軟件、管理界面、服務(wù)器集群等）的攻擊路徑，具體的路徑包括:

1)裸金屬服務(wù)器管理接口:

潛在攻擊者通過裸金屬服務(wù)開放的IPMI等管理接口存在的漏洞和缺陷，控制服務(wù)器底層硬件，并進(jìn)一步利用帶外管理網(wǎng)絡(luò)橫向擴(kuò)展，作為跳板訪問云管理和控制平臺(tái)的內(nèi)部接口，嘗試對(duì)平臺(tái)和其他租戶發(fā)起攻擊;

2)租戶虛擬機(jī)逃逸:

潛在攻擊者通過租戶應(yīng)用的數(shù)據(jù)庫、web等應(yīng)用程序漏洞，進(jìn)入云服務(wù)使用者（IaaS平臺(tái)的租戶所擁有的虛擬機(jī)實(shí)例）的操作系統(tǒng)，并進(jìn)一步通過潛在虛擬化逃逸漏洞進(jìn)入云資源底層的Hypervisor，進(jìn)而控制云平臺(tái)底層資源并進(jìn)行橫向擴(kuò)展;

3)獨(dú)立租戶VPC實(shí)例模式的容器和微服務(wù)網(wǎng)絡(luò)攻擊:

潛在攻擊者通過微服務(wù)管理系統(tǒng)的脆弱性或容器安全漏洞，進(jìn)入云服務(wù)提供商所使用的虛擬機(jī)實(shí)例操作系統(tǒng)，隨后進(jìn)一步通過潛在的虛擬化逃逸漏洞進(jìn)入云資源底層的Hypervisor，進(jìn)而控制云平臺(tái)底層資源并進(jìn)行橫向擴(kuò)展;

4)共享集群模式容器和微服務(wù)網(wǎng)絡(luò)攻擊:

潛在攻擊者通過容器逃逸或微服務(wù)組件漏洞，直接控制物理服務(wù)器執(zhí)行惡意操作或進(jìn)行橫向擴(kuò)展;

5)SaaS服務(wù)共享集群模式攻擊:

潛在攻擊者通過云服務(wù)提供商所提供的SaaS類服務(wù)能夠使用的API、中間件、數(shù)據(jù)庫等漏洞，直接逃逸或越權(quán)訪問進(jìn)入提供服務(wù)的底層服務(wù)器集群，執(zhí)行惡意操作，竊取數(shù)據(jù)或進(jìn)行橫向擴(kuò)展;

6)惡意攻擊者針對(duì)云服務(wù)平臺(tái)業(yè)務(wù)互聯(lián)網(wǎng)絡(luò)的旁路攻擊:

惡意攻擊者通過對(duì)于云平臺(tái)業(yè)務(wù)連接的相關(guān)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行APT攻擊，并進(jìn)一步迂回橫向擴(kuò)展返回攻擊云平臺(tái)業(yè)務(wù)、運(yùn)維或管理網(wǎng)絡(luò);

7)惡意攻擊者針對(duì)云服務(wù)平臺(tái)開發(fā)/運(yùn)營網(wǎng)絡(luò)的旁路攻擊:

惡意攻擊者通過對(duì)于云平臺(tái)連接的運(yùn)維或管理內(nèi)部網(wǎng)絡(luò)進(jìn)行APT攻擊，并進(jìn)一步迂回橫向擴(kuò)展返回攻擊云平臺(tái)業(yè)務(wù)、運(yùn)維或管理網(wǎng)絡(luò);

8)針對(duì)云用戶控制臺(tái)界面或開放式API的攻擊:

潛在攻擊者通過云服務(wù)提供商提供的控制臺(tái)或開放式API，利用控制臺(tái)應(yīng)用漏洞或API漏洞訪問，對(duì)租戶資源或平臺(tái)進(jìn)行攻擊。

在云上攻擊路徑中，還存在一系列橫向擴(kuò)展路徑，橫向擴(kuò)展指當(dāng)攻擊者成功獲取到租戶或平臺(tái)系統(tǒng)的一定權(quán)限后，利用網(wǎng)絡(luò)或共享資源進(jìn)行橫向遷移，進(jìn)一步擴(kuò)大攻擊范圍，獲取其他租戶和系統(tǒng)的資源、數(shù)據(jù)或訪問權(quán)限的情況，具體的路徑包括:

1)利用租戶資源和訪問權(quán)限，在VPC內(nèi)進(jìn)行橫向遷移攻擊，或作為跳板攻擊其他用戶;

2)利用微服務(wù)不同功能組件間共享資源或權(quán)限的橫向遷移;

3)利用共享數(shù)據(jù)庫集群間的資源或數(shù)據(jù)進(jìn)行橫向遷移;

4)當(dāng)成功實(shí)現(xiàn)虛擬機(jī)逃逸后，利用Hypervisor和硬件層面的控制面網(wǎng)絡(luò)和接口進(jìn)行橫向遷移;

5)利用網(wǎng)絡(luò)虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡(luò)進(jìn)行橫向遷移;

6)利用存儲(chǔ)虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡(luò)進(jìn)行橫向遷移;

7)利用云平臺(tái)管理面/控制面和業(yè)務(wù)面間的接口進(jìn)行橫向遷移;

8）BMC等固件破壞后獲取進(jìn)行物理機(jī)層面的潛伏，或利用底層硬件權(quán)限反向獲取Hypervisor OS或租戶虛擬機(jī)OS的數(shù)據(jù)和系統(tǒng)訪問權(quán)限。

云上安全需要全棧防護(hù)

從上述的攻擊路徑分析我們可以發(fā)現(xiàn)，面對(duì)更加復(fù)雜的網(wǎng)絡(luò)架構(gòu)和環(huán)境，原來在傳統(tǒng)IT安全中補(bǔ)丁式的防護(hù)思路在云上已經(jīng)不再適用了，因?yàn)槿魏我粋€(gè)環(huán)節(jié)出現(xiàn)問題，都會(huì)造成企業(yè)安全的失血，給惡意攻擊者帶來可乘之機(jī)。

為了避免因單點(diǎn)的疏漏造成整個(gè)云平臺(tái)的安全事故，打造全棧的安全基礎(chǔ)設(shè)施成為了云服務(wù)商可以選擇的思路之一。

所謂全棧，簡(jiǎn)單來說就是要在國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的指引下，從硬件設(shè)備的供應(yīng)鏈開始進(jìn)行安全審計(jì)，保障設(shè)備來源的安全可靠；然后使用經(jīng)過安全加固的自研服務(wù)器搭建數(shù)據(jù)中心，并對(duì)數(shù)據(jù)中心的水、電、安防等基礎(chǔ)設(shè)施提供物理層面的保障；最后在虛擬的操作系統(tǒng)和網(wǎng)絡(luò)層面做好安全防護(hù)。

云平臺(tái)在安全上分為基礎(chǔ)設(shè)施安全、云系統(tǒng)安全防護(hù)、平臺(tái)安全治理、對(duì)用戶的安全服務(wù)四個(gè)層面。全棧的安全建設(shè)規(guī)劃需要貫穿從平臺(tái)的系統(tǒng)保護(hù)、規(guī)劃、響應(yīng)、恢復(fù)等整個(gè)系統(tǒng)生命周期，逐步完成迭代。最后，需要聯(lián)合和云安全相關(guān)的幾方，包括服務(wù)商自身、消費(fèi)者、審計(jì)方以及云生態(tài)，共建整個(gè)云安全。

以騰訊為例，據(jù)筆者了解，為了對(duì)云平臺(tái)進(jìn)行全?；A(chǔ)設(shè)施建設(shè)，騰訊集結(jié)內(nèi)部七大安全實(shí)驗(yàn)室和安全平臺(tái)部超過300人的安全研究人員，對(duì)云平臺(tái)的合規(guī)管理、基礎(chǔ)設(shè)施、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全等展開研究，構(gòu)建一套基于云的原生安全體系，希望能實(shí)現(xiàn)在保障云平臺(tái)安全穩(wěn)定的同時(shí)，也把安全服務(wù)內(nèi)置到云中。并且據(jù)接近騰訊安全的人士透露，騰訊內(nèi)部各部門加起來大約3500名安全開發(fā)和運(yùn)維人員，都在投入到云安全的建設(shè)當(dāng)中。

在數(shù)據(jù)中心的物理安全層面，對(duì)包括安防、設(shè)備、水、空調(diào)、消防、電力這樣一些基礎(chǔ)設(shè)施的安全進(jìn)行研究和建設(shè)。目前騰訊全網(wǎng)服務(wù)器已經(jīng)超過100萬臺(tái)，帶寬峰值突破100T，這些都是持續(xù)提供高速、穩(wěn)定、安全云服務(wù)的必備基礎(chǔ)條件，在2019年11月10日晚，前有數(shù)千萬人在線觀看的英雄聯(lián)盟S9全球總決賽，后有雙十一年度搶購大戲，當(dāng)晚騰訊云先承擔(dān)了S9全網(wǎng)90%的流量，緊接著又為90%的電商企業(yè)提供了服務(wù)，這場(chǎng)年度大考能安然度過，騰訊云基礎(chǔ)設(shè)施運(yùn)維能力也得到了印證。

在整個(gè)網(wǎng)絡(luò)層面的安全，進(jìn)行更高量級(jí)DDoS防護(hù)的研究、打造更先進(jìn)的云防火墻、通過紅藍(lán)對(duì)抗和日常漏洞挖掘不斷收斂云上的安全漏洞。目前騰訊云的安全情報(bào)能力覆蓋了數(shù)百個(gè)信息源，租戶安全運(yùn)營中心服務(wù)于騰訊云100萬臺(tái)以上的服務(wù)器和數(shù)千家大客戶，能夠在分鐘級(jí)發(fā)現(xiàn)全網(wǎng)新增的高危端口，小時(shí)級(jí)定位新出現(xiàn)的零日漏洞影響范圍，在日級(jí)以內(nèi)實(shí)現(xiàn)全網(wǎng)的安全漏洞處置。

再到服務(wù)器的硬件安全層面，展開可信計(jì)算架構(gòu)與供應(yīng)鏈安全保證方面的研究，保證主機(jī)里面所有的硬件、固件、代碼完全經(jīng)過騰訊的審核，從硬件的設(shè)計(jì)開始經(jīng)過騰訊云自己的審計(jì)和安全評(píng)估。前不久，騰訊發(fā)布了自研的星星海服務(wù)器，這是一款專門為云打造的服務(wù)器。在設(shè)計(jì)過程中，結(jié)合數(shù)據(jù)中心實(shí)際部署環(huán)境要求，針對(duì)云端的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等場(chǎng)景做了重點(diǎn)優(yōu)化，能夠有效滿足騰訊云98%應(yīng)用場(chǎng)景需求。

最后到操作系統(tǒng)的安全，一直到租戶的安全保障迭代，最后完成整個(gè)云上面全?；A(chǔ)設(shè)施的安全構(gòu)建。

當(dāng)然，對(duì)于云服務(wù)商來說，想要靠自己的力量獨(dú)立搭建起完整的全?；A(chǔ)安全設(shè)施非常困難，這其中還涉及大量的第三方企業(yè)共同建設(shè)。一個(gè)完整理想的云安全生態(tài)環(huán)境，需要由云服務(wù)商、云租戶、第三方安全企業(yè)和審計(jì)方等云安全參與方來共同搭建，在這個(gè)過程中大家通過資源共享，做到責(zé)任共擔(dān)，共同打造更安全的云。