了解云攻击向量

1© 2023 云安全联盟大中华区版权所有2关于云安全联盟云安全联盟（CSA）是一个非营利组织，旨在促进和推广云计算的最佳实践，并提供行业内的安全保证。此外，云安全联盟提供云计算使用的教育，以帮助确保其他形式的计算安全。云安全联盟是由一个行业从业者、企业、协会和其他主要利益相关者组成的广泛联盟领导。。欲了解更多信息，请访问 www.cloudsecurityalliance.org，并关注我们的Twitter 账号@cloudsa。@2023 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改；(c)本文不得转发；(d)本文商标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。© 2023 云安全联盟大中华区版权所有3© 2023 云安全联盟大中华区版权所有4致谢报告中文版支持单位腾讯云鼎实验室成立于 2016 年，是腾讯安全旗下的顶级实验室之一。秉承“一切以用户价值为依归”的理念，云鼎实验室坚持研究创新和实践落地并重的技术路线，专注于云安全技术研究和创新工作，在大规模云安全防护和治理、云原生安全技术、密码学和云数据安全、容器和虚拟化安全、硬固件和基础设施安全等多个领域展开技术研究和产品创新工作。云鼎实验室同时也负责腾讯云平台自身的安全建设、防护和治理工作，通过安全治理体系建设、持续性安全攻防对抗、大数据安全运营平台、和云原生安全托管服务（Cloud-MSS）持续保障腾讯云平台及云上数百万租户的安全。腾讯是 CSA 全球会员单位，支持该报告内容的翻译，但不影响 CSA 研究内容的开发权和编辑权。主要贡献专家：李鑫、高瑞强© 2023 云安全联盟大中华区版权所有5报告英文版编写专家贡献者：Dina AgafonovDaniel BegimherTony DaskaloGidi FarkashMoshe FerberMichael RozaYuval SegevOmri Segev MoyalDana TsymbergZur Ulianitzky审校者：Oren ElimelechEyal EstrinPatrick GawChris KirschkeMauricio Mendoza ClaveroVenu ReddyEitan SatmaryYuval SinayPeter van EijkKobi ZvirshCSA 全球员工：Frank GuancoClaire LehnertStephen Lumpe在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。© 2023 云安全联盟大中华区版权所有6序言随着云计算技术的迅猛发展，越来越多的组织将数据和业务迁移到云平台上，享受着云计算带来的弹性、可扩展和便捷的优势。在云环境中，IaaS（基础设施即服务）和PaaS（平台即服务）作为两种常见的云服务模型，为组织提供了强大的托管应用程序和基础设施的能力。然而，云计算环境也面临着来自不断演化的网络威胁和攻击的挑战。本白皮书旨在针对 IaaS 和 PaaS 服务模型，详细梳理常见的云攻击向量，并通过与相关的 CSA 研究和其他威胁模型对应，将这些攻击向量一一列举出来。本文包含八个与IaaS 和 PaaS 相关的攻击向量，涵盖了工作负载、存储等方面的错误配置或漏洞。我们意识到，尽管风险、威胁和漏洞的数量和重要性不断上升，但使用的攻击向量相对稳定。因此，通过深入了解这些攻击向量，组织可以更好地理解针对云托管应用程序和基础设施的常见攻击方式，并明确在控制和安全工作中需要重点关注的领域。相信通过阅读本白皮书，组织将能够深入了解这些重要的云攻击向量，并为保护其在云环境中的应用程序和基础设施做出明智的决策。我们希望本白皮书对于提高云安全意识、加强防御措施以及规避潜在威胁带来积极的促进作用。李雨航 Yale LiCSA 大中华区主席兼研究院院长© 2023 云安全联盟大中华区版权所有7目录致谢 ............................................................................................... 4序言 ............................................................................................... 6简介 ............................................................................................... 8本文档的目的 ................................................................................8文件结构和范围 .............................................................................8目标受众 ..................................................................................... 9IaaS 和 PaaS 云攻击向量 ......................................................................91：可利用的工作负载 .........................................................................112：工作负载权限过高 .........................................................................143：不安全的密钥、凭证和应用密钥 ........................................................174：可利用的身份验证或授权 ................................................................ 215：未经授权访问对象存储 ................................................................... 256：第三方跨环境/账户访问 .................................................................. 297：不安全/未加密的快照及备份 ...........................................