面向云攻击的安全防护技术研究.pdf
《面向云攻击的安全防护技术研究.pdf》由会员分享,可在线阅读,更多相关《面向云攻击的安全防护技术研究.pdf(5页珍藏版)》请在咨信网上搜索。
1、2023/08/DTPT收稿日期:2023-06-011 背景近年来,云计算技术一直处于高速发展和广泛应用的过程中,并且随着公有云和私有云的广泛部署,云计算基础设施已经成为了企业部署新业务的首选。“十四五”时期,中国的信息化进入加快数字发展、建设数字中国的新阶段,云计算作为数字中国建设的新型数字基础设施,在推动人工智能、5G、工业互联网、物联网等技术的发展和应用方面发挥着越来越重要的作用。云计算的普遍应用和相关技术发展,使其经历了云计算1.0虚机时代和云计算2.0原生时代,目前正在朝着云计算3.0智能时代迈进1。新技术的发展与应用,必然导致新的安全问题,安全技术作为一种伴生技术,需要能够解决新
2、技术所带来的安全问题。但是,目前云安全的发展相较云资源与云能力产品的发展存在一定的滞后,导致面向云资源发起的攻击越来越多,企业需要面临相较于传统计算环境更多的风险暴露面以及更复杂更频繁的攻击行为。因此,在当前云计算2.0时代,云原生技术日趋成熟,并因ChatGPT的推动助力朝着云计算3.0智能时代面向云攻击的安全防护技术研究Research on Security Protection Technology for Cloud Attacks关键词:云原生;云攻击;云安全;安全防护doi:10.12045/j.issn.1007-3043.2023.08.006文章编号:1007-3043(2
3、023)08-0024-05中图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:随着信息技术、数字技术和智能技术的不断演进与发展,云计算已经成为了企业数字化转型所依赖的重要基础设施,并日益发挥出重要作用。如今,云计算已经经历了虚机时代和原生时代,即将进入智能时代。新的时代背景下,云计算将面临更多样、更复杂、更大量的攻击。分析云攻击的特点,并针对云攻击构建相应的安全防护能力,对云的安全发展至关重要。分析了当前云计算的特点和所面临的主要威胁,结合云上攻击行为,研究了新形势下面向云攻击的安全防护能力。Abstract:With the continuous evo
4、lution and development of information technology,digital technology and intelligent technology,cloudcomputing has become an important infrastructure on which enterprises rely for digital transformation,and plays a more im-portant role.Nowadays,cloud computing has gone through the virtual machine era
5、 and the native era,and is about to enter theintelligent era.In the new era,cloud computing will face more diverse,complex,and massive attacks.Analyzing the character-istics of cloud attacks and building corresponding security protection capabilities for cloud attacks is crucial for the security de-
6、velopment of the cloud.It analyzes the characteristics of current cloud computing and the main threats it faces,and combinedwith cloud attack behavior,it studies the security protection capabilities of cloud attacks in the new situation.Keywords:Cloud native;Cloud attack;Cloud security;Safety protec
7、tion郑涛1,郭新海2,3,丁攀2,3,王戈2,3,刘安2,3(1.中国联合网络通信集团有限公司,北京 100033;2.中国联通研究院,北京 100048;3.下一代互联网宽带业务应用国家工程研究中心,北京 100048)Zheng Tao1,Guo Xinhai2,3,Ding Pan2,3,Wang Ge2,3,Liu An2,3(1.China United Network Communications Group Co.,Ltd.,Beijing100033,China;2.China Unicom Research Institute,Beijing 100048,China;3
8、.Next Generation Internet Broadband Service Application National Engineering Research Center,Beijing 100048,China)郑涛,郭新海,丁攀,王戈,刘安面向云攻击的安全防护技术研究安全技术前沿Security Technology Frontier引用格式:郑涛,郭新海,丁攀,等.面向云攻击的安全防护技术研究 J.邮电设计技术,2023(8):24-28.24邮电设计技术/2023/08迈进,分析云计算所面临的主要威胁和攻击者的主要攻击行为,并研究相关的安全防护能力,能够为企业的云安全防护
9、体系的建立提供帮助,保障企业业务和数据更安全的在云上运转3。2 云计算面临的主要威胁2023年云安全联盟(CSA)大中华区主席李雨航院士指出,云安全下半场中原生安全是基石、应用安全是核心、数据安全是目标,新时代下云安全的3驾马车即云原生安全、云应用安全和云数据安全。当前,云原生的代表技术容器、容器编排平台、微服务、DevOps、CI/CD和Serverless等在云基础设施和云应用中被大量使用,这些技术的使用为企业的业务应用开发、部署和持续服务带来了极大的便利,但也使企业面临的风险发生了变化,主要表现在以下几个方面。a)容器技术的使用拓展了企业需要管理的资产。企业在开展网络资产安全管理时不仅要
10、对传统的服务器、网络设备、安全设备、虚拟机和应用程序等资产进行管理,还需要将容器纳入资产的范围。另外,由于容器主要使用镜像构建,而镜像的使用极易导致供应链攻击、恶意镜像传播和敏感信息泄露等风险。b)容器编排平台作为容器的控制和管理系统,进一步增大了风险攻击面。由于平台不安全的配置,大量攻击通过攻击容器编排平台进一步开展横向渗透。c)开发运营一体化和持续集成/持续交付为应用业务系统的开发、部署和运营效率提供了保证,但是由于开发人员安全经验的缺乏,也引入了大量系统漏洞。d)由于微服务和 Serverless 的使用,业务逻辑缺陷、API滥用、未授权的访问以及敏感数据泄露等也成为了云原生应用所面临的
11、主要风险。2022年,CSA总结了云计算面临的十一大类主要威胁2,6,并给出了云客户和云供应商需要重点关注的主要云安全威胁,如表1所示。3 面向云计算的攻击分析在网络安全的攻守博弈过程中,因为攻击方能够随时随地的针对网络的任何薄弱点发起攻击,而防守方需要利用有限的资源构建起全面的安全防御体系,使得防守方一直处于劣势地位。因此,为了解决防守方面临的问题,帮助企业更全面地了解攻击者的攻击特点、攻击战术和攻击技术,需要对攻击者的攻击行为进行分析。3.1 云攻防矩阵为了解决攻守双方实力不对称以及防守方经常处于被动的局面,2013年MITRE公司基于实际发生的安全事件,创建出了 ATT&CK(Adver
12、sarial Tactics,Techniques,and Common Knowledge)知识库。截至目前,ATT&CK 发布的攻防矩阵已经涵盖了企业、移动端、工控系统等方面,其中企业的攻防矩阵包括了PRE、Windows、macOS、Linux、云、网 络 和 容 器。ATT&CK v13版本的云攻防矩阵中涵盖了针对云进行攻击的 11 项战术和 68 项技术,分别从初始访问、执行、持久化、特权提升、防御绕过、凭证访问、发现、横向移动、收集、渗透、影响共计11个方面进行了介绍,如图1所示。3.2 攻击方式分析通过分析ATT&CK的云攻防矩阵可以看出,云计算所面临的攻击行为多从身份认证、配置
13、缺陷、公网暴露面发起,在取得突破后进入内网进行横向移动和提权,从而获得对内网的控制。云上的攻击方式和传统计算中心的攻击方式发生了很大的变化,传统的数据中心中因为存在大量违规开放的端口、补丁不及时应用、错误配置的中间件、未升级的操作系统以及混乱的网络隔离策略等问题,使得操作系统、中间件、软件应用程序、对外服务端口等都成为了攻击者的攻击入口,但是在云上由于IaaS、PaaS和SaaS等服务模式表1云计算所面临的十一大类主要威胁类别不充分的身份、凭据,访问和密钥管理、特权账号管理不安全的接口和API配置不当和变更控制不足缺乏云安全架构和战略不安全的软件开发不安全的第三方资源系统漏洞云计算数据的意外泄
14、露无服务器和容器化工作负载的配置不当和利用有组织的犯罪、黑客和APT攻击云存储数据泄露详细介绍由于未进行充分的身份、凭据,访问和密钥管理、特权账号管理造成的漏洞由于错误的配置、不良的编码习惯、缺乏身份认证和不恰当的授权导致的漏洞未对系统、应用、容器、平台等进行安全的配置,对云环境中的变更控制不足导致错误配置,并阻碍了纠正错误配置由于缺乏云安全架构和战略导致的企业和基础设施安全架构实施被限制云环境导致的软件开发的复杂性,导致可能出现新的漏洞和错误配置来自第三方资源的漏洞,供应链漏洞云服务平台中普遍存在的系统漏洞云错误配置导致的意外数据泄露应用程序的不合规配置导致的安全缺陷和风险高级持续威胁,有组
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 攻击 安全 防护 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。