云服務(wù)的崛起，使得更多的惡意攻擊轉(zhuǎn)向云端。現(xiàn)在云服務(wù)的攻擊，大部分來(lái)至IaaS、PaaS、SaaS三個(gè)層面。

IaaS層面

分布式拒絕服務(wù)攻擊(DDoS)。 迄今為止DDoS攻擊仍然是最有效的攻擊手段，且隨著DDoS技術(shù)進(jìn)步，這種攻擊成本越來(lái)越低，并且在將來(lái)很長(zhǎng)一段 時(shí)間內(nèi)仍然無(wú)法根治。這種攻擊隱蔽且非常有效，UCloud在今年5月就遭受到63G的大流量攻擊。這對(duì)IaaS廠商來(lái)說(shuō)是致命的，長(zhǎng)時(shí)間的業(yè)務(wù)中斷，任 何客戶都承受不起。利用NTP的反射型DDoS可以說(shuō)是DDoS中的核武器、殺手锏，可將攻擊流量放大至200倍，如四兩撥千斤般，幾乎可以打癱任何廠商 的帶寬出口，國(guó)外CDN廠商CloudFlare今年年初就遭受到400G的反射型流量攻擊。

Web攻擊。為了提升交互體驗(yàn)，云服務(wù)商都會(huì)提供一個(gè)Web方式的管理控制臺(tái)，若控制臺(tái)自身存在漏洞，一定會(huì)造成危害。這種漏洞主要來(lái)自兩方 面。一方 面是程序代碼對(duì)輸入信息校驗(yàn)不完整或程序邏輯有誤造成的漏洞。例如，某云計(jì)算巨頭廠商基于開(kāi)源軟件ElasticSearch開(kāi)發(fā)的搜索工具存在遠(yuǎn)程執(zhí)行 的漏洞，可以執(zhí)行任意命令和寫(xiě)文件操作。另一方面是部署或使用第三方工具不當(dāng)造成的漏洞。例如，某云服務(wù)商使用OpenSSL不當(dāng)造成用戶信息泄露，進(jìn)而 使黑客能夠以該用戶身份登錄并獲取服務(wù)器敏感信息。

虛擬機(jī)資源濫用。當(dāng)前云計(jì)算業(yè)務(wù)正處于發(fā)展期，一些傳統(tǒng)用戶還處于是否向云計(jì)算遷移的糾結(jié)中。因此，很多云廠商提供了免費(fèi)的虛擬機(jī)試用服務(wù)，黑 客正利 用了這一機(jī)會(huì)并結(jié)合其他手段，如批量注冊(cè)免費(fèi)郵箱等，來(lái)大量申請(qǐng)免費(fèi)云計(jì)算資源構(gòu)筑強(qiáng)大的云攻擊環(huán)境，并且形成一種商業(yè)服務(wù)AaaS(Attacks- as-a-Service)，任何人只要購(gòu)買該服務(wù)即可對(duì)任意目標(biāo)發(fā)動(dòng)DDoS攻擊。

PaaS層面

底層IaaS遇到的問(wèn)題在PaaS層面依然存在。由于PaaS平臺(tái)可以托管應(yīng)用并在其平臺(tái)上完成開(kāi)發(fā)工作，如果權(quán)限管理不正確的話會(huì)導(dǎo)致用戶的App 被篡改乃至被惡意刪除。今年5月，新浪SAE就被發(fā)現(xiàn)存在用戶越權(quán)操作、可刪除任意用戶的代碼倉(cāng)庫(kù)的漏洞。另外，PaaS平臺(tái)提供的數(shù)據(jù)庫(kù)服務(wù)，如果數(shù)據(jù) 庫(kù)配置不當(dāng)也會(huì)產(chǎn)生很多安全隱患，有些數(shù)據(jù)庫(kù)甚至缺少?gòu)?qiáng)健的身份認(rèn)證能力，如Redis。如果PaaS廠商對(duì)訪問(wèn)請(qǐng)求沒(méi)有限制的話，黑客可以通過(guò)暴力破解 方式獲取數(shù)據(jù)庫(kù)密碼，從而導(dǎo)致數(shù)據(jù)泄露。

今年6月，國(guó)外代碼托管服務(wù)商Code Spaces(構(gòu)筑在亞馬遜AWS EC2下的PaaS平臺(tái))由于被黑客惡意刪除了全部數(shù)據(jù)導(dǎo)致被迫關(guān)閉。從中我們看到由于PaaS平臺(tái)是構(gòu)筑在IaaS基礎(chǔ)之上的，用戶不能觸及真正的物理 服務(wù)器，所以管理服務(wù)器的 操作只能通過(guò)IaaS提供的控制面板、管理控制臺(tái)等Web界面來(lái)完成，一旦口令被破解，真實(shí)用戶只能眼睜睜看著黑客操控自己的機(jī)器。所以我建議IaaS除 了提供必要的基礎(chǔ)安全措施外，還可以進(jìn)一步考慮提供一些額外的安全機(jī)制，比如多因素身份認(rèn)證等增值服務(wù)，給用戶更多選擇。

SaaS層面

SaaS的業(yè)務(wù)形態(tài)主要是以Web方式進(jìn)行輸出，所以面臨的主要安全風(fēng)險(xiǎn)都集中在SQL注入、跨站腳本(XSS)、API交互缺乏簽名驗(yàn)證導(dǎo)致仿冒盜用乃至數(shù)據(jù)泄露等方面。