2023 年 12 月,某电商平台遭遇了一次典型的云上攻击:攻击者通过一个公开的 S3 存储桶获取了访问密钥,利用该密钥调用云 API 创建了后门用户,随后通过云元数据服务获取临时凭证横向移动到生产数据库,在 47 分钟内完成了从外网突破到核心数据窃取的全过程。事故复盘发现,该团队以为”上了云就安全了”,却忽略了 共享责任模型(Shared Responsibility Model)中属于租户的那一半责任。这个案例并非孤例——云环境下的攻击面与传统数据中心有着本质区别,理解这些区别是构建有效防护体系的第一步。
一、云安全的本质:责任边界的迁移
传统数据中心的安全边界是物理的:机房门禁、网络隔离、防火墙策略,一切都在可控范围内。而云计算的核心特征——资源池化、按需自助、弹性伸缩、多租户——从根本上改变了安全的游戏规则。
1.1 共享责任模型
云安全的第一条原则是:安全是云厂商和租户的共同责任,但责任的分界线取决于服务模型。
┌─────────────────────────────────────────────────────────┐│ IaaS(如 EC2) ││ 云厂商:物理安全、基础设施、虚拟化层 ││ 租 户:OS、应用、数据、网络配置、身份管理 │├─────────────────────────────────────────────────────────┤│ PaaS(如 RDS) ││ 云厂商:物理安全、基础设施、虚拟化、OS、运行时 ││ 租 户:应用代码、数据、访问控制 │├─────────────────────────────────────────────────────────┤│ SaaS(如 Office 365) ││ 云厂商:物理安全、基础设施、应用、数据(部分) ││ 租 户:身份管理、数据分类、合规策略 │└─────────────────────────────────────────────────────────┘最容易出问题的地方在于:租户常常不清楚分界线在哪里。一个典型的误区是认为使用了托管的 RDS 服务就不需要关心数据库安全,但实际上数据库的访问控制、加密策略、审计日志都是租户的责任。
1.2 云上攻击面的变化
相比传统环境,云环境引入了新的攻击面:
- 管理平面攻击:云 API 和管理控制台成为新的攻击入口,一个 IAM 策略配置错误可能导致整个账户被接管
- 元数据服务滥用:通过 SSRF 访问云实例元数据服务获取临时凭证是云环境特有的攻击路径
- 多租户风险:虽然虚拟化提供了隔离,但侧信道攻击和虚拟机逃逸的威胁始终存在
- 供应链攻击:云市场中的第三方镜像、IaC 模板、SaaS 集成都是潜在的攻击向量
- 数据残留:存储资源释放后可能存在数据残留,多租户环境下风险更高
1.3 安全模型的根本差异
| 维度 | 传统安全 | 云安全 |
|---|---|---|
| 边界模型 | 基于物理网络边界 | 基于身份和上下文 |
| 信任模型 | 内网可信 | 零信任 |
| 防护方式 | 集中式安全设备 | 分布式安全策略 |
| 变更节奏 | 周级/月级 | 分钟级/小时级 |
| 可见性 | 网络流量镜像 | API 日志和云事件 |
| 弹性 | 固定容量 | 随业务弹性伸缩 |
二、云安全威胁全景
理解威胁是构建防御的前提。云安全威胁可以分为三个层次:基础设施层、平台层和应用层。
2.1 基础设施层威胁
基础设施层威胁主要针对云平台本身和底层资源:
- 资源劫持:攻击者利用计算资源进行加密货币挖矿,通常通过入侵容器或虚拟机实现
- 网络攻击:DDoS 攻击在云环境中更为常见,因为攻击者可以利用云的弹性来放大攻击效果
- 存储泄露:S3 存储桶配置错误导致数据泄露是最常见的云安全事故之一
- 身份与访问管理失效:过度授权的 IAM 策略、长期不轮换的访问密钥
2.2 平台层威胁
平台层威胁针对云服务本身的配置和使用:
- 错误配置:云服务的默认配置往往偏向便利而非安全,需要主动加固
- API 滥用:云 API 没有速率限制或认证不充分,可能被暴力攻击
- 服务间信任链攻击:利用云服务之间的信任关系进行横向移动
- 日志与监控盲区:未启用的云服务日志导致事后无法溯源
2.3 应用层威胁
应用层威胁与传统的 Web 安全有重叠,但云环境增加了新的维度:
- 容器逃逸:从容器内部突破到宿主机
- 无服务器攻击:利用函数的冷启动、依赖注入等特性
- CI/CD 管道攻击:通过污染构建流程植入后门
- 依赖混淆:利用公有云和私有包之间的解析差异植入恶意代码
三、纵深防御体系
面对多层次的威胁,单一的安全产品无法提供有效防护。纵深防御(Defense in Depth)是云安全的核心策略——在每一层都部署安全控制,形成重叠的保护。
3.1 安全控制层次
一个完整的云安全纵深防御体系应包含以下层次:
每个层次的安全控制如下:
| 层次 | 关键控制 | 典型工具/服务 |
|---|---|---|
| 身份与访问 | MFA、最小权限、条件访问 | IAM、PAM、SSO |
| 网络 | 微隔离、加密传输、访问控制 | 安全组、NACL、PrivateLink |
| 计算 | 镜像加固、运行时保护 | CIS Benchmark、EDR |
| 数据 | 加密、分类、访问审计 | KMS、Macie、DLP |
| 应用 | WAF、代码扫描、依赖检查 | WAAP、SAST、SCA |
| 监控与响应 | 日志聚合、威胁检测、自动化响应 | SIEM、SOAR、XDR |
3.2 安全策略的生命周期
安全不是一次性的配置,而是持续的生命周期:
- 识别:清点资产、发现风险、评估合规状态
- 保护:实施安全控制、加固配置、部署防护
- 检测:监控异常、分析威胁、识别入侵
- 响应:遏制攻击、修复漏洞、恢复服务
- 恢复:从备份还原、改进措施、更新策略
这个 NIST 网络安全框架(NIST Cybersecurity Framework,CSF)的五个功能在云环境中同样适用,但实施方式需要适配云的特性。
四、云安全核心能力
4.1 身份与访问管理
身份是云环境的新边界。身份与访问管理(Identity and Access Management,IAM)是云安全的基础:
- 最小权限原则:每个身份只授予完成任务所需的最小权限
- 条件访问:基于设备状态、地理位置、风险等级动态授权
- 临时凭证:优先使用临时凭证而非长期访问密钥
- 权限边界:为角色设置最大权限范围,防止权限提升
4.2 网络安全
云网络安全的重点从物理隔离转向逻辑隔离:
- 虚拟网络隔离:使用 VPC、子网、安全组实现网络分段
- 微隔离:在工作负载级别实施细粒度的访问控制
- 加密传输:所有网络通信使用 TLS,内部服务间通信也应加密
- 私有连接:使用 PrivateLink 或 Private Endpoint 避免数据经过公网
4.3 数据保护
数据保护是云安全的最终目标:
- 数据分类:根据敏感程度对数据进行分级,不同级别实施不同保护
- 加密:传输加密和存储加密,使用客户管理的密钥(CMK)增强控制
- 访问审计:记录所有数据访问行为,支持事后溯源
- 数据防泄漏:监控数据的外发和异常访问模式
4.4 安全运营
安全运营将技术能力转化为持续的安全保障:
- 集中监控:聚合所有云账户和服务的安全日志
- 威胁检测:基于规则和机器学习识别异常行为
- 自动化响应:对高频事件实现自动化处置
- 持续合规:实时监控资源配置的合规状态
五、云安全工具生态
云安全工具生态正在从碎片化走向整合,但了解每个品类的定位仍然重要:
5.1 云安全态势管理
云安全态势管理(Cloud Security Posture Management,CSPM)专注于云资源配置的合规检查和风险发现。它通过持续扫描云账户的配置状态,与安全基准进行比对,发现错误配置和合规偏差。
5.2 云工作负载保护
云工作负载保护平台(Cloud Workload Protection Platform,CWPP)专注于运行时工作负载的安全,包括虚拟机、容器和无服务器函数的漏洞管理、运行时保护和系统加固。
5.3 云原生应用保护
云原生应用保护平台(Cloud-Native Application Protection Platform,CNAPP)将 CSPM 和 CWPP 的能力整合,并增加了代码到运行时的全生命周期保护。CNAPP 是当前云安全领域最受关注的品类。
5.4 安全访问服务边缘
安全访问服务边缘(Secure Access Service Edge,SASE)将网络和安全功能融合为云服务,支持混合办公和零信任访问。
六、从认知到行动
理解云安全的理论框架只是起点,真正的挑战在于落地实施。以下是几个关键行动项:
- 绘制责任地图:明确每个云服务中租户与云厂商的责任分界
- 资产清单:建立完整的云资产清单,无法保护你看不见的东西
- 身份加固:为所有用户启用 MFA,审查并收敛 IAM 权限
- 网络分段:实施微隔离策略,限制横向移动
- 数据分类:对存储的数据进行分类分级,实施差异化的保护策略
- 日志策略:确保关键云服务的日志已启用并集中收集
- 自动化检测:部署 CSPM 工具持续监控配置合规性
云安全不是终点,而是一个持续对抗的过程。在后续的文章中,我们将逐一深入每个技术领域,从底层的数据包处理到上层的应用防护,构建完整的技术认知体系。
支持与分享
如果这篇文章对你有帮助,欢迎支持作者或分享给更多人
部分信息可能已经过时