腾讯安全：2019年云安全威胁报告.pdf-资料库

dst1213-12080540-4744302543433354877.pdf-第1页.png

第1页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第2页.png

第2页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第3页.png

第3页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第4页.png

第4页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第5页.png

第5页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第6页.png

第6页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第7页.png

第7页 / 共46页

dst1213-12080540-4744302543433354877.pdf-第8页.png

第8页 / 共46页

2019 云安全威胁报告腾讯安全云鼎实验室腾讯安全云鼎实验室专注云安全技术研究和云安全产品创新工作；负责腾讯云安全架构设计、腾讯云安全防护和运营工作；通过攻防对抗、合规审计搭建管控体系，提升腾讯云整体安全能力。 GeekPwn（极棒）是全球首个关注智能生活的安全极客赛事平台、首个探索人工智能与专业安全的前沿平台，由顶尖信息安全团队碁震（KEEN）发起主办。GeekPwn 以“安全的科技、安全的生活”为宗旨，为安全极客提供展示自己才能的舞台。 GeekPwn 旗下的极棒实验室（GeekPwn Lab）致力于包括基础系统与协议、移动支付、物联网以及人工智能安全等新兴和未来技术应用领域的安全研究，并依托 GeekPwn 平台帮助智能生态产品提升安全性。

2019 云安全威胁报告目录 1 概述............................................................................................................................1 2 云安全威胁全景........................................................................................................2 3 云安全责任共担........................................................................................................8 4 基础攻击面..............................................................................................................10 4.1 网络攻击.......................................................................................................10 4.1.1 流量攻击............................................................................................10 4.1.2 BGP 劫持............................................................................................ 13 4.2 主机安全.......................................................................................................14 4.2.1 传统主机攻击方法............................................................................15 4.2.2 虚拟化穿透........................................................................................19 4.3 应用程序利用...............................................................................................20 5 数据威胁..................................................................................................................22 5.1 数据泄露.......................................................................................................23 5.2 数据丢失.......................................................................................................26 5.3 隐私数据攻击...............................................................................................28 6 身份验证和访问管理..............................................................................................29 6.1 账户攻击.......................................................................................................30 6.2 内部威胁.......................................................................................................32 7 云中的安全管理......................................................................................................33 7.1 云资源滥用攻击...........................................................................................34 8 微服务及 serverless 安全....................................................................................... 36 8.1 微服务威胁...................................................................................................37 8.2 Serverless 威胁..............................................................................................38 9 新兴安全威胁..........................................................................................................40 9.1 Intercloud 安全............................................................................................. 40 9.2 行业安全趋势...............................................................................................41

2019 云安全威胁报告 1 概述云计算结合多种现有技术，将各种硬件资源，宽带资源，以及虚拟化技术聚集在一起，创造一种云计算的生态系统，向云计算服务使用方提供一种按需提供 IT 资源并解决高峰使用的解决方案。这种解决方案使用户能够使用最低的成本获得满足其自身需求的资源配置。更重要的是，用户在使用云计算解决方案的同时，还可以根据云服务提供商提供的相关服务，购买所需的安全服务或者其他满足其业务需求的微服务，更大程度的减少其所需要处理的或者因经验不足而忽略的安全问题或者 IT 问题。随着云计算解决方案优势的体现，越来越多的用户选择将其业务上云，而云计算服务提供商有更广阔的市场。与此同时，云计算所面临安全问题也日益增多，除了传统安全问题外，也面临云计算场景所带来的新的安全挑战。根据预测数据来看（如图 1- 1 所示），到 2021 年，全球公有云收入预测将达到 2783 亿元，云管理和安全服务收入预测也将达到 163 亿元，与 2017 相比，同比增长 87.36%。第 1 页共 41 页

2019 云安全威胁报告图 1- 1 全球公有云服务收入预测1 云计算代表一种新的计算模型，云计算解决方案也是一种新型解决方案。因此如何实现所有级别（例如，网络，主机，应用程序和数据级别）的安全性存在很大的不确定性，这种不确定性决定了安全是云计算需要解决的头等大事。随后的章节将结合现有情况说明云上安全威胁和攻击趋势。 2 云安全威胁全景在产业互联网的推动下，云计算技术快速、创新发展，云服务提供商向用户提供多元、多层次的不同服务，同时由于云技术本身共享的特性，内部各层次有 1https://www.gartner.com/en/newsroom/press-releases/2018-09-12-gartner-forecasts-worldwide-public- cloud-revenue-to-grow-17-percent-in-2019 第 2 页共 41 页

2019 云安全威胁报告相互关联，暴露在公众视线的资产、服务、接口更多，影响的用户也更多，“云” 的安全问题被提升到至关重要的位置。在传统的家用网络或企业网络中，攻击者会根据攻击目标暴露的资产和服务情况，自外向内逐层进入，使用相对固定的攻击路径。在云平台上，传统网络架构中的 DDoS、入侵、病毒等安全问题是常态问题；与此同时，针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷；而且，由于云服务成本低、便捷性高、扩展性好的特点，利用云提供的服务或资源去攻击其他目标的也成为一种新的安全问题。根据腾讯云安全团队的情报数据显示，云资源作为攻击源的比例在所有国内攻击源中已接近一半（如图 2- 1 所示）。图 2- 1 攻击来源中云资源占比（国内）在云计算的生态系统中，云服务提供商使用虚拟化技术将计算资源（CPU，存储，网络，内存，应用程序堆栈和数据库）抽象，使之成为共享的资源池，供云服务使用者通过标准化方法透明地使用这些资源。虚拟化技术可以通过合理的配置，为所有云服务使用者（也就是租户）提供可扩展的共享资源平台来支持多第 3 页共 41 页

2019 云安全威胁报告租户云业务模型，并为每一个租户提供专用的资源视图。从公有云角度来看，虚拟化技术使云服务资源在各方面（例如，操作系统，存储，数据库，应用程序）透明显示为独立资源，提供给云服务使用者按需选择使用或者在必要时候扩展使用。在云计算生态环境下，暴露给攻击者的信息表面看与传统架构中基本一致，但是由于云生态环境下虚拟化技术、共享资源、相对复杂的架构、以及逻辑层次的增加，导致可利用的攻击面增加，攻击者可使用的攻击路径和复杂度也大大增加。图 2- 2 云平台攻击路径全景模型如图 2- 2 所示，显示了云生态环境下攻击者可以选择利用的潜在攻击路径。第 4 页共 41 页

2019 云安全威胁报告如图所示的八条纵向攻击路径，是指恶意攻击者从 Internet 环境下可能攻击云租户和平台（可能是云平台的底层资源、管理软件、管理界面、服务器集群等）的攻击路径，具体的路径包括： 1) 裸金属服务器管理接口：潜在攻击者通过裸金属服务开放的 IPMI 等管理接口存在的漏洞和缺陷，控制服务器底层硬件，并进一步利用带外管理网络横向扩展，作为跳板访问云管理和控制平台的内部接口，尝试对平台和其他租户发起攻击； 2) 租户虚拟机逃逸：潜在攻击者通过租户应用的数据库、web 等应用程序漏洞，进入云服务使用者（IaaS 平台的租户所拥有的虚拟机实例）的操作系统，并进一步通过潜在的虚拟化逃逸漏洞进入云资源底层的 Hypervisor，进而控制云平台底层资源并进行横向扩展； 3) 独立租户 VPC 实例模式的容器和微服务网络攻击：潜在攻击者通过微服务管理系统的脆弱性或容器安全漏洞，进入云服务提供商所使用的虚拟机实例操作系统，随后进一步通过潜在的虚拟化逃逸漏洞进入云资源底层的 Hypervisor，进而控制云平台底层资源并进行横向扩展； 4) 共享集群模式容器和微服务网络攻击：潜在攻击者通过容器逃逸或微服务组件漏洞，直接控制物理服务器执行恶意操作或进行横向扩展； 5) SaaS 服务共享集群模式攻击：第 5 页共 41 页

资料库

腾讯安全：2019年云安全威胁报告.pdf

相关推荐

云计算

热门标签

最新资料