腾讯安全：云上安全攻防实战手册（124页）.pdf

《腾讯安全：云上安全攻防实战手册（124页）.pdf》由会员分享，可在线阅读，更多相关《腾讯安全：云上安全攻防实战手册（124页）.pdf（124页珍藏版）》请在三个皮匠报告上搜索。

1、 目 录 前 言.1 一、元数据服务带来的安全挑战.2 二、Web 应用托管服务中的元数据安全隐患.13 三、对象存储服务访问策略评估机制研究.23 四、Kubelet 访问控制机制与提权方法研究.48 五、国内首个对象存储攻防矩阵.60 六、SSRF 漏洞带来的新威胁.68 七、CVE-2020-8562 漏洞为 k8s 带来的安全挑战.86 八、云服务器攻防矩阵.94 九、Etcd 风险剖析.106 十、云 IAM 原理&风险以及最佳实践.115 1 前 言 云计算的出现彻底改变了 IT 产业和传统企业的 IT 结构，各行各业正加速上云步伐。从安全从业者视角来看，云就像一个极具诱惑力的“蜜

2、罐”，云上海量的数据和业务正吸引着攻击者的视线。近年来，云上安全威胁呈现出三大趋势。首先在威胁主体上，专业化的高级持续性威胁（APT）组织层出不穷，当前全球范围内具备国家级攻击力量的黑客组织就高达 40 多个；其次在受攻击目标上，国家关键基础设施、企业商业数据、个人敏感信息等都成为攻击标的；最后，数实融合和数字化转型的潮流致使云安全面临着资源和人力的巨大缺口。云时代下，各种新技术不断涌现，使得云安全在攻击面以及攻击路径上呈现出愈发复杂的状态。当前，云上安全攻防实力已成为企业价值的重要参数之一，腾讯安全依托 20 余年网络攻防实战技术的沉淀，从元数据服务、对象存储服务、Kubelet 访问控制机

3、制、安全漏洞等角度出发，将实战经验汇编成云上安全攻防实战手册，以期为行业带来参考。2 一、元数据服务带来的安全挑战 在针对云上业务的的攻击事件中，很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。以 2019 年的美国第一资本投资国际集团（CapitalOne）信息泄露事件举例，根据ACase Study of the Capital One Data Breach报告指出，攻击者利用CapitalOne 部署在 AWS 云上实例中的 SSRF 漏洞向元数据服务发送请求并获取角色的临时凭证，在获取角色临时凭据后将该角色权限下的 S3 存储桶中的数据复制到攻击者

4、的本地机器上，最终导致这一严重数据泄露事件的产生，这一事件影响了北美超过 1 亿人。CapitalOne 的股价在宣布数据泄露后收盘下跌 5.9%，在接下来的两周内总共下跌了 15%。Capital One 信息泄露事件攻击原理图，可参见图：图 1-1 CapitalOne 信息泄露事件攻击原理图 在介绍元数据服务带来的安全挑战之前，我们先来简单介绍一下元数据服务以及角色的概念。01元数据服务以及角色介绍 元数据服务元数据服务 元数据即表示实例的相关数据，可以用来配置或管理正在运行的实例。用 户可以通过元数据服务在运行中的实例内查看实例的元数据。以 AWS 举例，可 3 以在实例内部访问如下地

5、址来查看所有类别的实例元数据：http:/169.254.169.254/latest/meta-data/169.254.169.254 属于链路本地地址（Link-localaddress），链路本地地址又称连结本地位址，是计算机网络中一类特殊的地址，它仅供于在网段，或广播域中的主机相互通信使用。这类主机通常不需要外部互联网服务，仅有主机间相互通讯的需求。IPv4 链路本地地址定义在 169.254.0.0/16 地址块。而在具体的技术实现上，云厂商将元数据服务运行在 Hypervisor（虚拟机管理程序）上。当实例向元数据服务发起请求时，该请求不会通过网络传输，也永远不会离开这一台计算机

6、。基于这个原理，元数据服务只能从实例内部访问。可以 PING 云厂商所提供的元数据服务域名，以查看其 IP 地址 图 1-2 从上图可见，元数据服务属于链路本地地址。从设计上来看，元数据服务看起来很安全，那为什么说元数据服务脆弱呢？由于元数据服务部署在链路本地地址上，云厂商并没有进一步设置安全措施来检测或阻止由实例内部发出的恶意的对元数据服务的未授权访问。攻击者可以通过实例上应用的 SSRF 漏洞对实例的元数据服务进行访问。因此，如果实例中应用中存在 SSRF 漏洞，那么元数据服务将会完全暴露在攻击者面前。在实例元数据服务提供的众多数据中，有一项数据特别受到攻击者的青睐，那就是角色的临时访问凭