云安全

2023年，云计算持续迅猛发展，广泛渗透各行业，随着应用程序在混合云和多云环境中的部署增加，面向租户的云上风险也相应提升，如攻击者可利用互联网上泄露的凭证信息访问租户资产，并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置，直接获取云存储桶内的敏感信息，以上风险最终会造成数据泄露事件的发生。其次，公有云服务自身也存在漏洞，若云厂商未及时对漏洞进行修复，攻击者可通过漏洞利用对租户的云服务发起攻击，造成不良后果。最后，开发运营一体化（DevOps）使得用户对应用运营变得更加便捷，但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。本篇报告，绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析，总结了2023年的十大云安全事件，围绕十大事件风险根因，联合创新研究院孵化中心进行了云上风险发现的研究。报告主要内容如下：第一章，我们对未来云安全发展趋势进行了简要分析，我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险；第二章，我们简要分析了2023年十大典型云安全案例。基于时下热点事件分析网络安全态势，有助于我们“以史为鉴”，预防潜在同类安全事件发生；第三章，我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键服务的密钥信息，也可能存储用户的隐私数据，这给攻击者提供了更多的攻击面，将会导致更多数据泄露事件的发生；第四章，我们对公有云服务自身的安全性进行了分析，如公有云数据库服务自身的安全性较容易被忽略，且数据库中存放用户敏感数据，如账号信息，个人信息等，因此也成为攻击者关注的目标之一；第五章，我们分析了用户在云上部署的开发运营一体化DevOps服务的安全性。DevOps流程中，用户使用大量的第三方服务或者依赖库，使用的服务镜像，都有可能存在漏洞，更可能存在敏感数据泄漏的风险。