云編排用于提供服務(wù)器、獲取和分配存儲容量、處理網(wǎng)絡(luò )、創(chuàng )建虛擬機和管理身份，以及云中的其他任務(wù)。編排攻擊的目標是竊取可以重用的帳戶(hù)或密碼密鑰，以便為云資源分配特權。Nedbal說(shuō)，例如攻擊者可以使用被盜的帳戶(hù)創(chuàng )建新的虛擬機或訪(fǎng)問(wèn)云存儲。

他指出，他們的成功程度取決于他們竊取賬戶(hù)的特權。然而，一旦業(yè)務(wù)流程帳戶(hù)被攻破，攻擊者可以使用其訪(fǎng)問(wèn)權限為自己創(chuàng )建備份帳戶(hù)，然后使用這些帳戶(hù)訪(fǎng)問(wèn)其他資源。

Nedbal繼續說(shuō)，編排攻擊針對的是云API層，因此不能用標準的網(wǎng)絡(luò )流量檢測工具檢測到，安全團隊需要同時(shí)觀(guān)察基于網(wǎng)絡(luò )的行為和賬戶(hù)行為。

3 挖礦型網(wǎng)絡(luò )攻擊

4 跨租戶(hù)攻擊

Nedbal表示，如果您是云提供商或為云租戶(hù)提供計算資源，您的租戶(hù)可以請求配置工作負載。租戶(hù)可以交換數據和共享服務(wù)，從現有資源生成流量，這在擁有私有數據中心的組織中很常見(jiàn)。不幸的是，這種通信留下了安全漏洞。

由于許多租戶(hù)使用相同的云，因此無(wú)論資源位于何處，安全邊界都會(huì )逐漸消失。這會(huì )導致IT組織及其資產(chǎn)增長(cháng)時(shí)出現問(wèn)題，但相應的安全防護設備不會(huì )隨之增長(cháng)。如果一名員工遭到攻擊，攻擊者可以使用共享服務(wù)滲透到財務(wù)、人力和其他部門(mén)。

“如果你在使用云服務(wù)商提供的計算和網(wǎng)絡(luò )資源等服務(wù)，比如亞馬遜或AZURE的網(wǎng)絡(luò )服務(wù)，那么安全性就更為重要了?！盢edbal說(shuō)。云租戶(hù)可以使用門(mén)戶(hù)網(wǎng)站上提供的功能來(lái)配置私有云， 但是，這些網(wǎng)絡(luò )中的流量通常不是通過(guò)傳統的安全控制來(lái)發(fā)送的。

他補充說(shuō):“為了向租戶(hù)提供服務(wù)，你必須擴大私有數據中心或私有云的規模?！彪S著(zhù)私人數據中心的增長(cháng)以及企業(yè)對公有云服務(wù)的依賴(lài)，這將繼續是一個(gè)問(wèn)題?！安捎玫脑圃蕉?，相關(guān)的跨云攻擊就越多?！?/p>

5 跨數據中心攻擊

6 濫用即時(shí)元數據APIs

Chiodi說(shuō)，即時(shí)元數據API是所有云提供商提供的一種特殊功能。雖然沒(méi)有bug或漏洞，但是考慮到它并不在本地運行，通常得不到適當的保護或監控。攻擊者可能以?xún)煞N方式利用它。

第一種方法是脆弱的反向代理。反向代理在公有云環(huán)境中很常見(jiàn)，可以通過(guò)設置主機來(lái)調用即時(shí)元數據API并獲得憑證的方式進(jìn)行配置。如果在云環(huán)境中打開(kāi)代理，可以將其配置為通過(guò)反向代理訪(fǎng)問(wèn)Internet，則可以存儲這些憑證。他說(shuō):“如果沒(méi)有為特定的實(shí)例正確設置這些訪(fǎng)問(wèn)憑證的權限，他們就可以做該實(shí)例被授權的所有事情?！?/p>

第二種方法是通過(guò)惡意Docker鏡像。開(kāi)發(fā)人員通過(guò)Docker Hub共享Docker鏡像，但是這種便捷性導致了公開(kāi)信任鏡像的行為，可以利用惡意命令來(lái)獲取訪(fǎng)問(wèn)密鑰。攻擊者可能從受損的容器訪(fǎng)問(wèn)公有云帳戶(hù)。

“即時(shí)元數據API是一個(gè)很好的功能，但你必須知道如何處理它?！盋hiodi建議監視云中的用戶(hù)行為，并在頒發(fā)憑證時(shí)遵循最小特權原則。

7 無(wú)服務(wù)器攻擊

Nedbal稱(chēng)這是“下一級”的云攻擊。無(wú)服務(wù)器或功能即服務(wù)(FaaS)體系結構是相對較新的和流行的，因為用戶(hù)不必部署、維護和擴展他們自己的服務(wù)器。雖然它使管理變得容易，但是無(wú)服務(wù)器架構的棘手部分是實(shí)現安全控制的挑戰。

FaaS服務(wù)通常有一個(gè)可寫(xiě)的臨時(shí)文件系統，因此攻擊者可以將他們的攻擊工具保存在臨時(shí)文件系統中。FaaS功能可以訪(fǎng)問(wèn)具有敏感數據的企業(yè)數據庫，因此，攻擊者可能會(huì )泄露數據，并使用攻擊工具竊取數據。使用錯誤的特權，FaaS功能可以幫助他們創(chuàng )建新的虛擬機、訪(fǎng)問(wèn)云存儲或創(chuàng )建新帳戶(hù)或租戶(hù)。

Nedbal說(shuō):“傳統的安全控制幾乎無(wú)法做到這一點(diǎn)，因為無(wú)服務(wù)器或功能及服務(wù)（FaaS）體系架構甚至能從安全管理員手中奪走虛擬網(wǎng)絡(luò )?！眰鹘y的安全控制很難對付無(wú)服務(wù)器的攻擊，對于無(wú)服務(wù)器的攻擊，你需要一種方法在流量到達函數即服務(wù)之前重定向流量。

8 跨工作負載攻擊

這些類(lèi)型的攻擊發(fā)生在同一個(gè)租戶(hù)中，沒(méi)有什么可以阻止工作負載在同一租戶(hù)或虛擬網(wǎng)絡(luò )中相互通信，因此對虛擬桌面的攻擊可能會(huì )擴散到虛擬Web服務(wù)器或數據庫。

企業(yè)通常使用不受信任的虛擬機來(lái)瀏覽和下載在線(xiàn)內容。如果任何人受到感染，并且它與具有敏感數據的其他工作負載在同一租戶(hù)上運行，那么這些可能會(huì )受到影響。

“為了降低違規風(fēng)險，具有不同安全要求的工作負載應該在不同的安全區域，”Nedbal說(shuō)，“應該使用一套豐富的安全控制措施來(lái)檢查穿越這些區域的通信流量，就像對南北向流量采取的安全措施一樣?！?nbsp;但是，他補充道，在工作負載之間添加安全控制是很困難的。