云安全的风险统计报告 容器ATT攻击

首先,根据二零二零年的数据分析,Kubered2ked(简称ed2ks)的市场占有率为75%,而OpenShift从一年的9%升高到16%。由此可见,ed2ks已经成为当前行业容器编排的事实标准。接着进行安全问题分析,以ed2ks为例进行容器编排平台安全问题分析,图2为阿里云服务器提到的云上容器ATT&CK攻防引流矩阵。由图可知,黑客在攻击ed2ks群的过程中有很多手段,ed2ks群的攻击面很大。



阿里云服务器上容器ATT&CK攻防引流矩阵。1.3微服务结构网络应用安全问题分析。微服务网络应用在解决传统单体应用不足的同时扩大了攻击面(端口和东西流量显着增加等),引进了安全上的危险。例如,对于微服务网络应用程序,传统单体应用程序面临的OWASPTop10等安全漏洞仍然存在,受结构特征的影响,敏感信息泄露、无效身份认证、无效访问控制等漏洞类型的风险越来越突出。


服务网格平台的安全问题。服务网格作为云本地应用的系统结构模式,应对了微服务结构在网络和管理上的挑战,推进了技术堆栈层结构的发展。从分布式负荷平衡、防火墙服务的可见性来看,服务网格通过在各结构层提供通信层,避免服务碎片化,以安全隔离的方式解决了交叉组的工作负荷问题,超越了Kubered2ked容器组,扩展到裸机运行的服务。服务网格和微服务是云原生技术栈中相辅相成的两部分,前面一种关注应用程序的交付和运行时,后者关注应用程序的设计和开发。如果服务网格中没有双向TLS认证,服务之间很容易受到中介攻击。如果没有进行东西方向、南北方向的认证鉴定权的话,服务容易受到越权攻击。


Serverleesens(无服务器计算)也称作函数,即服务(Funlickons-also-a-Serdubbo,简称为FaaS),是云计算技术的模型。根据平台即服务(PaaS),无服务器计算提供微型结构,终端客户无需配置、配置或管理服务器服务,代码运行所需的服务器服务都由云平台提供,Serverleesens进一步降低了基础运输的工作量,业务上线后Serverleesens应用的示意图如图3所示。类似于传统的单机应用,Serverleesens应用程序很容易受到典型的网络攻击,而且在这个特殊的应用场景下,Serverleesens用户可能会受到DoW(DenialofWallet)这样的平台账户的拒绝服务攻击,受到经济损失。


分享: