漫谈云计算攻击模式

问题导读
1、如何看待云计算攻击的种类/方法？
2、谈谈自己关于云计算安全的防御之道？






前言
目前、棱镜门事件和索尼影业、朝鲜网络中断，以及联系到笔者大学两位童鞋在某局从事安全方面工作，不由得有了些想法。
关于网络安全，这实在是一个非常广泛且深度的领域。所以，此篇之浅谈云计算方面的。
以下部分由网上借鉴并根据自己整理得来

1、IaaS层面 （基础设施即服务）
我们可以看到IssS层面主要有三种攻击方式。

（1）分布式拒绝服务攻击（DDoS）
迄今为止DDoS攻击仍然是最有效的攻击手段，且随着DDoS技术进步，这种攻击成本越来越低，并且在将来很长一段时间内仍然无法根治。这种攻击隐蔽且非常有效。利用NTP的反射型DDoS可以说是DDoS中的核武器、杀手锏，可将攻击流量放大至200倍，如四两拨千斤般，几乎可以打瘫任何厂商的带宽出口。

（2）Web攻击
为了提升交互体验，云服务商都会提供一个Web方式的管理控制台，若控制台自身存在漏洞，一定会造成危害。这种漏洞主要来自两方面。一方面是程序代码对输入信息校验不完整或程序逻辑有误造成的漏洞。另一方面是部署或使用第三方工具不当造成的漏洞。

（3）虚拟机资源滥用
当前，云计算业务正处于发展期，一些传统用户还处于是否向云计算迁移的纠结中。因此，很多云厂商提供了免费的虚拟机试用服务，黑客正利用了这一机会并结合其他手段，如批量注册免费邮箱等，来大量申请免费云计算资源构筑强大的云攻击环境（比如DDOS环境），并且形成一种商业服务AaaS（Attacks-as-a-Service）。

2、PaaS层面 （平台即服务）
底层IaaS遇到的问题在PaaS层面依然存在。由于PaaS平台可以托管应用并在其平台上完成开发工作，如果权限管理不正确的话会导致用户的App被篡改乃至被恶意删除。另外，PaaS平台提供的数据库服务，如果数据库配置不当也会产生很多安全隐患，有些数据库甚至缺少强健的身份认证能力，如Redis。如果PaaS厂商对访问请求没有限制的话，黑客可以通过暴力破解方式获取数据库密码，从而导致数据泄露。

由于PaaS平台是构筑在IaaS基础之上的，用户不能触及真正的物理服务器，所以管理服务器的操作只能通过IaaS提供的控制面板、管理控制台等Web界面来完成，一旦口令被破解，真实用户只能眼睁睁看着黑客操控自己的机器。所以我建议IaaS除了提供必要的基础安全措施外，还可以进一步考虑提供一些额外的安全机制，比如多因素身份认证等增值服务，给用户更多选择。

3、SaaS层面 （软件即服务）
SaaS的业务形态主要是以Web方式进行输出，所以面临的主要安全风险都集中在SQL注入、跨站脚本（XSS）、API交互缺乏签名验证导致仿冒盗用乃至数据泄露等方面。

迄今为止，凡是已公开运营的云服务，无论规模大小，几乎无一幸免，都或多或少被曝出现过上述漏洞。在这里，笔者觉得公有云服务提供商，有必要加强自身网络安全队伍力量建设或者外包给第三方安全厂商来做，但这有点不独立的感脚。


综上，就是笔者的一些愚见。欢迎参与讨论。