钟合

现阶段，上云企业的数量稳步增加，中小企业青睐物理基础设施的经济性，而大企业则钟爱云服务的灵活性。但对于刚刚上云的企业来说，他们并不熟悉云上业务的运作方式与单纯的本地系统存在何种差异。

云端的设置不仅涉及单一设施，还需要与物理数据中心相结合。因此，上云的挑战便延伸到了安全层面，当企业的云安全部署不充分或对于配置参数不熟悉时，便会面临诸多风险，这些因素会导致工作负载和应用程序暴露在网络上，包括配置错误、技术的合理使用、运营经验和云系统防护，甚至是对于部分研发人员和云工程师的风险忽视。云系统的组成因素在很多方面是相互交织形成的，所以潜在攻击媒介很难追踪，而对于刚刚开始使用云平台和服务的IT安全部门工作人员来说，安全任务十分艰巨。

云时代的安全问题是当务之急，因为云计算技术为黑客提供了更多的目标集与新工具。这些攻击所基于的启动点范围很广，从一般凭据（例如被遗忘的或被盗的凭据）到使用AWS Glue和Sage Maker等数据科学工具的新凭证，以及使用Kubernetes等强大的工具实施的复杂攻击等等。

2021年，会有许多有关云服务的安全问题暴露出来，以下是对于云安全的一些预测：

持续性攻击

当创建新实例并运行可以匹配所需任何硬件或软件环境的虚拟机时，云体系结构可提供完全的灵活性，但这种灵活性如果不能得到适当保护，便可能诱发黑客在保留对初始攻击控制权的情况下发起持续性攻击。

Amazon Web Services云服务可以使开发人员轻松地以渐进式或间断式的方法构建云端环境。例如，AWS允许开发人员在每次重新启动Amazon EC2实例时自动执行脚本，这就意味着，如果黑客设法使用已上传到云实例的有毒shell脚本来控制该实例，继而利用其与服务器的连接进行持续不断地攻击。这种方式可以让黑客在服务器内横向移动，从而获得特权并窃取数据，使其能够进一步利用企业的资源。

尽管企业的管理员可以关闭自动执行脚本选项，并要求开发人员每次返回环境时进行登录操作，但是实施这一措施需要开发人员的积极主动配合，所以本质上来说，AWS的灵活性也正是其弱点所在。配置选项过多导致服务器错误配置几率增加，这便给黑客留下了更多的攻击入口。

数据科学工具攻击

事实证明，笔记本电脑对于数据科学家来说是必不可少的存在，电脑够帮助他们快速的对数据进行集成和分析。像AWS Sage Maker这类工具可以使数据分析的流程更加高效，帮助数据科学家构建、训练和部署机器学习模型。但是，AWS Sage Maker作为一种相对较新的工具，其受众范围并没有覆盖整个安全领域。所以，安全意识的薄弱也给了黑客进行攻击的机会。

与其他Amazon的产品一样，AWS Sage Maker具备灵活性强、选项多等特点。研究表明，黑客可以利用部分选项功能给自己授予更高的管理员特权，黑客也可以利用攻击路径绕过Amazon GuardDuty的（可用于访问高级角色和权限）泄露凭证数据，打开云实例上的终端。

此外，黑客还可以利用Cloud Goat等开源项目。他们使用AWS Glue、CodeBuild和S3以及开源项目中未使用过的“组”和“角色”来进行特权升级。面对这种情况，管理员和数字科学家也需要熟悉系统的体系架构，以保护自身安全，并最大限度地缩小黑客的活动空间。

机器人 可能会感染云遗留资产

安全公司GlobalDots的一份调查报告显示，超过80%的“恶意机器人”（即窃取数据、抓取内容、分发垃圾邮件、运行分布式拒绝服务攻击等行为的机器人）都是基于云端的数据中心运行的，“恶意机器人”会对网络站点进行病毒的“传染式”投放，利用其已经获得控制权服务器去攻击其他服务器和用户。

此外“恶意机器人”也可以利用对云基础架构的控制，来为黑客执行破坏任务。相关研究调查显示，对加密货币挖矿（cryptomining）的攻击更黑客受其欢迎，所以在某种程度上，加密货币领域面临着巨大的网络安全威胁。

相关研究人员称，黑客已经不满足于控制云基础架构所窃取的资源和资金，故而他们开发出的“加密货币挖矿恶意软件”的新变种还可以窃取AWS凭证。新变种中的蠕虫病毒利用“加密货币挖矿恶意软件”进行封装，通过寻找未加密的AWS CLI文件，进而从中提取凭证数据。

该研究人员表示，面对这种新型攻击手段的解决方案是限制外界对相关数据的访问，但是要实现这一操作，同样需要管理员的积极配合。

更多Kubernetes威胁

黑客利用常见的配置错误问题，开发出了针对Weave Scope的攻击手段。Weave Scope可以监控Kubernetes集群的一系列资源的状态、资源使用情况、应用拓扑，还可以直接通过UI界面进行调式查看日志等操作。黑客利用端口4040授予的默认开放的访问权限安装Weave Scope，并将其用作监视系统、调取资源、安装应用程序、启动或关闭容器中Shell的后门程序，从而实现自己想要实现的一切事情。

相关消息称，为了渗透云环境，黑客组织TeamTNT已将合法的Weave Scope软件添加到其攻击工具包中。根据网络安全公司Intezer和Microsoft本周发布的最新研究，这可能是Weave Scope首次被纳入基于云的攻击中。

抢先防御 先发制人

随着越来越多的企业安装云应用，来自云端的安全威胁也不断增长。预计到2023年，企业在公共云方面的支出，将比2019年增加一倍以上。

大多数的网络安全問题都是可以被纠正的，然而许多管理员和用户却只是在威胁降临之际，才去正视思考该问题。届时，他们已然成为“受害者”。为了避免这种情况，管理员和用户需要提前查找漏洞，并在问题演变成现实攻击之前就将其解决填补。随着2021年云应用量的持续增加，用户对于配置问题的安全意识也必须同步增长。

随着云服务的持续演进和不断完善，我们相信云安全也会与时俱进。在战略上藐视对手，在战术上重视对手，这应该是我们对待云安全问题的基本态度和原则。

云安全问题的暴露，从积极的一面分析，它让云服务商和上云企业都更多一份小心和重视，想方设法消除安全瓶颈，让云服务的安全边界更严密，逐渐变得滴水不漏。

从宏观角度考虑，作为云安全防护的第一道防线，云服务商的安全认知、主动防范意识、多重的安全保护措施，特别是渗透在血液中的安全文化，才是打造安全云铜墙铁壁的关键因素。