云安全的新阶段：云上暴露面的风险发现与治理

文│绿盟科技集团股份有限公司 刘文懋

随着企业广泛采用敏捷开发，以及公有云应用发展趋势变快，公有云上部署的各类服务数量和种类均明显增多，通过对云上资产与服务进行测绘，如存储桶、代码仓库和各类在云上部署的服务等，发现存在大量潜在的风险，需要及时应对和治理。

一、云计算发展的新阶段

云计算当前已经成为新型基础设施的关键支撑技术，在新冠疫情期间，支撑了大量远程办公、政务防疫、百姓生活等云端应用和移动应用。要分析云计算未来的趋势，则需要回顾云计算过去的发展。需要注意的事，云计算在国内的发展具有鲜明的中国特色，跟国外同期不同，总体分为三个阶段。

第一阶段是 2018 年以前，主流的云计算场景多是虚拟化与私有云，部署在用户的内部环境中，基本上是将物理服务器替换为虚拟机。此类云计算应用可以理解为传统应用的虚拟化移植。

第二阶段从 2018 年延续至今，随着新型基础设施的快速发展，容器技术的轻量、弹性等特性得到了重视，成为替代虚拟化的云计算重要支撑技术。同时，企业开发团队大量使用敏捷开发和开发运营一体化（DevOps）模式，云原生（CloudNative）技术栈已经广泛应用于各类云计算基础设施中，形成了庞大的云计算生态系统，其中微服务、无服务器等成为首选的开发运营模式。此类云计算应用可以理解为云计算的中心从基础设施转向了敏捷开发与云化应用交付本身。

第三阶段从 2020 年开始，随着后疫情时代的移动办公、应用云化产生的深远影响，部署在公有云的应用将成为主流。边缘侧安全接入（SecureService Edge，SSE），管道侧的软件定义广域 （SD-WAN），加上云端的软件即服务（SaaS），将成为未来云计算的主流。公有云上丰富的云化应用和开放接口服务，将为大量第三方应用提供各类能力。

然而，公有云和 SaaS 服务的暴露面较私有 络中的云服务更大，其产生的攻击面和安全风险需更加重视。

二、云上暴露面带来安全风险

当前云安全建设的驱动力主要是合规性要求，满足等级保护 2.0 标准中云计算安全的要求，以及相关主管机构所颁布的云计算安全条例。然而，能力建设只是过程，并非目标。安全的本质是对抗，抵御各类威胁才是云安全的目标。随着云计算的广泛应用，可以预见国家支持的 络安全威胁、各种 络犯罪，以及大型攻防对抗活动都会瞄准部署在云平台上的各类应用和服务。

按照攻击链的理念，攻击者通常会首先收集各类软件版本和脆弱性的信息，构造相应的工具。聚焦于云的攻击者会收集互联 上暴露的云服务，进而发现其脆弱性并加以利用。因此，对云上攻击面进行发现与缓解非常重要。

从暴露面和攻击面的角度看，无论是云平台，还是云上应用都可能存在被攻击者利用的脆弱性。这主要有如下原因。

在 DevOps 中，开发团队大量使用第三方开源软件或软件库，或使用公开的容器镜像，以提升其开发效率，但这些开源软件或容器镜像可能存在安全漏洞，或遭到恶意污染，由这些镜像启动的服务或使用了这些软件的服务，都会存在安全风险。

传统的单体应用中，核心应用会直接读写数据库、消息队列，而公有云应用多采用读写公有云提供的存储服务或消息队列服务，以实现弹性或按需扩展，而这些原本内部的服务如今暴露在互联 上，任何人都可从互联 上发现这些服务。事实上，如果云服务商的运维团队没有对这些服务做安全配置，攻击者可以利用这些服务直接或间接进行攻击。

很多开发者出于方便也会选择自己在互联 上搭建服务，同样的，这些服务如果没有合理配置，也会存在安全风险。

很多大型机构有自己的研发团队开发软件，或委托第三方机构进行开发，无论是企业自身的员工，还是第三方的员工，都可能无意识地在互联 上部署或存放敏感代码或数据，导致出现安全风险。

三、云服务对外暴露的风险分析

云平台和应用均可能对外暴露，这些服务存在被攻击者发现并利用的风险。有些云应用本身是对外提供服务的，但如存在配置错误或凭证失窃，则容易被攻击者攻击；而有些云应用和系统本不应对外提供服务，因为部署者无意识的错误导致对外暴露。下文介绍若干已发现云服务暴露导致的风险。

（一）存储桶服务暴露与用户错误配置导致数据泄露

主流公有云服务商都提供了对象存储服务，如亚马逊 AWS 提供了 S3 存储桶服务，用于存储用户应用所需的文件、目录或数据，提升应用的弹性能力，简化了用户部署系统的难度。

然而，由于有相当数量的用户缺乏安全意识，没有对存放的 S3 存储桶添加访问凭证，或使用弱口令账户，或将凭证存储在互联 公开位置（如下文提到的代码仓库），因而缺乏足够的认证授权和访问控制机制来保护存储桶。咨询公司Gartner 在 2019 年曾断言，到 2022 年，至少 95%的云安全事故源于用户的错误，而其中大部分是因为配置错误导致的。

绿盟科技统计了 2017 年以来发生的因 S3 存储桶造成的 12 次数据泄露事件，其中 10 个事件涉及的 S3 存储桶是公开访问的，甚至在 2018 年的一起医疗数据泄露事件中，相关存储桶竟然被设置为任何人均可读写，可见安全意识之薄弱。用户错误配置隐私泄露风险之大，应引起足够重视。

对象存储服务只是公有云提供的若干存储服务之一，其他如消息队列服务、数据库服务等均存在对外暴露和错误配置叠加的数据泄露风险。

（二）代码仓库暴露导致 站被攻破

从安全左移的角度看，代码仓库是介于开发阶段与运营阶段之间的重要边界，然而由于安全意识薄弱，或大企业软件供应链存在不可控的第三方参与，很容易出现安全风险，最典型的是企业 IT 系统所用的源代码仓库暴露在互联 上。一旦攻击者获取这些源代码，一方面可以分析程序的控制流与业务，找到脆弱处加以利用；另一方面可以发现代码中存在的硬编码凭证，进而访问后台系统、数据库等重要服务，堂而皇之地进入内部 络，或横向移动，或窃取数据。

绿盟科技在测绘时，发现有一些代码仓库存在着类似未授权访问的问题，除了源代码泄露可能造成的危险外，代码中还有许多敏感信息。如代码仓库的代码中出现姓名、证书编 、身份证之类的个人隐私数据，有的尽管是测试代码，但也说明了这种现象的存在。即便开发者在新版本中将敏感信息删除，但代码仓库具有历史版本的信息，攻击者有可能检查历史版本去寻找潜在的信息或凭证。总之，代码仓库暴露的巨大风险不可不察。

（三）容器平台暴露导致计算资源被控制

2018 年 5 月至 7 月，绿盟科技对全 的开源应用容器引擎 Docker 管理服务的 2375 端口进行检索，发现在这段时间内，暴露在互联 上的 2375端口地址达 337 个。暴露主机的分布覆盖多达 29个国家，一方面说明了 Docker 已得到广泛应用，另一方面也说明用户对于 Docker 的使用并不规范，进行了非常危险的配置。

对这 337 个服务的 IP 地址的地理区域统计显示，在全球范围内，互联 上暴露的 Docker 服务主要分布于中国、美国以及德国。其中，中国有197 个 IP 地址，占比 52%，美国有 65 个 IP 地址，德国有 19 个 IP 地址。用时，对这些 IP 的域名服务分布情况进行统计显示，其中不乏某些知名公有云厂商的 IP 地址，亚马逊因其市场份额较大，在此项位居首位。

2018 年 7 月，绿盟科技还分析了常用云管理平台 Kubernetes 的服务暴露情况，对全 的 6443端口（Kubernetes 的应用软件编程接口服务默认安全传输端口）进行扫描分析，发现这段时间暴露在互联 上的 Kubernetes 服务达 12803 个。其中，美国以 4886 个暴露的服务占比 38%，位居第一，中国以 2582 个暴露的服务占比 20%，德国以1423 个暴露的服务占比 11%。国内互联 上暴露的 Kubernetes 服务主机，主要存在于北京、浙江以及广东等省市，这些服务大多部署在亚马逊、阿里云等公有云上。其中的几百个甚至都没有设置登录密码，一旦被恶意操作，后果将不堪设想。

（四）TeslaMate 暴露导致车辆被窃密或被控制

TeslaMate 是一款可获取特斯拉数据和日志的开源项目，车主可自主部署在公有云或其他互联 服务器上，用于显示特斯拉轨迹、电量等信息。虽然 TeslaMate 极大方便了特斯拉车主的生活，但如果车主在部署时没有启用认证，攻击者则有可能发现暴露的 TeslaMate 服务，从而窃取该特斯拉车辆的轨迹、充电等敏感数据。

更危险的是，TeslaMate 会在数据库中保存向特斯拉官方服务交互的凭证，如果攻击者获得了该凭证，则可通过该凭证向特斯拉服务发送控制指令，例如可发起远程启动请求，可能危害特斯拉车辆的行驶安全。事实上，已有有安全研究人员发现全球有超过 20 辆特斯拉可被控制。

四、云上攻击面管理

从监管部门的角度，对云上风险进行治理非常必要，有助于确保重要数据和关键数据不外泄、重要基础设施（包括政府站点服务、智能 联车、工业互联 等）正常运行，避免造成 会危害，以及避免各类伴生 络攻击和地缘政治冲突。但云上安全治理在未来一段时间内，涉及到云上资产与风险测绘、梳理云上资产归属，以及相关的治理体系和技术建设，将是一个较为长期、体系化的过程。

以上文的云上风险为例，特斯拉车主的身份定位是非常困难的。而代码仓库、S3 存储桶或容器平台，如果对其业务或数据，以人工智能或知识图谱等技术，是有可能发现敏感数据，以及涉事机构或人员，继而配合治理体系和流程，根据风险级别和影响范围，逐步将相关系统或服务下线或进行改造。

从机构的角度，对自身相关的云上风险进行管理和缓解，是必须和可行的。Gartner 在云安全框架中将配置和管理面的安全统称为云安全态势管理（Security Posture Management，CSPM），其中最重要的，就是各类云服务对外暴露的管理面服务是否存在错误配置或弱访问凭证等风险。如果再把数据面服务暴露的风险防护加上，即对云上的整体暴露的攻击面进行管理，Gartner 又把这部分安全技术合称为外部攻击面管理（ExternalAttack Surface Management，EASM），并将该技术列入了 2022 年安全与风险管理趋势中，可见其重要程度。而外部攻击面管理，主要是持续测绘互联 上各类资产与服务的暴露面，分析其面临的攻击面，特别是在攻击者利用之前，及时发现并缓解潜在的风险。

五、总 结

随着后疫情时代的到来，云上业务成为各大机构实现发展的必经之路。云计算的发展所带来的开发、运营模式的变化，即有巨大的机会同时也存在巨大的风险。绿盟科技根据对云化趋势的前瞻性技术洞察，发布了云化战略“智安云”，帮助用户在软件栈、运营体系上云后，发现并管理暴露的攻击面，持续进行治理和缓解风险，更好地防止各类安全事件或数据泄露，保障云上业务的安全性。