目 录 前 言 .....................................................................................................................................................................1 一、元数据服务带来的安全挑战...................................................................................................................2 二、Web 应用托管服务中的元数据安全隐患 ....................................................................................... 13 三、对象存储服务访问策略评估机制研究 ............................................................................................. 23 四、Kubelet 访问控制机制与提权方法研究......................................................................................... 48 五、国内首个对象存储攻防矩阵................................................................................................................ 60 六、SSRF 漏洞带来的新威胁 ...................................................................................................................... 68 七、CVE-2020-8562 漏洞为 k8s 带来的安全挑战 ........................................................................... 86 八、云服务器攻防矩阵 .................................................................................................................................. 94 九、Etcd 风险剖析 ........................................................................................................................................106 十、云 IAM 原理&风险以及最佳实践....................................................................................................115 前 言 云计算的出现彻底改变了 IT 产业和传统企业的 IT 结构，各行各业正加速上 云步伐。从安全从业者视角来看，云就像一个极具诱惑力的“蜜罐”，云上海量 的数据和业务正吸引着攻击者的视线。 近年来，云上安全威胁呈现出三大趋势。首先在威胁主体上，专业化的高级 持续性威胁（APT）组织层出不穷，当前全球范围内具备国家级攻击力量的黑客 组织就高达 40 多个；其次在受攻击目标上，国家关键基础设施、企业商业数据、 个人敏感信息等都成为攻击标的；最后，数实融合和数字化转型的潮流致使云安 全面临着资源和人力的巨大缺口。 云时代下，各种新技术不断涌现，使得云安全在攻击面以及攻击路径上呈现 出愈发复杂的状态。当前，云上安全攻防实力已成为企业价值的重要参数之一， 腾讯安全依托 20 余年网络攻防实战技术的沉淀，从元数据服务、对象存储服务、 Kubelet 访问控制机制、安全漏洞等角度出发，将实战经验汇编成《云上安全攻 防实战手册》，以期为行业带来参考。 1 一、元数据服务带来的安全挑战 在针对云上业务的的攻击事件中，很多攻击者将攻击脆弱的元数据服务作为 攻击流程中重要的一个环节并最终造成了严重的危害。 以 2019 年的美国第一资本投资国际集团（CapitalOne）信息泄露事件举例， 根据《ACase Study of the Capital One Data Breach》报告指出，攻击者利用 CapitalOne 部署在 AWS 云上实例中的 SSRF 漏洞向元数据服务发送请求并获取角 色的临时凭证，在获取角色临时凭据后将该角色权限下的 S3 存储桶中的数据复 制到攻击者的本地机器上，最终导致这一严重数据泄露事件的产生，这一事件影 响了北美超过 1 亿人。CapitalOne 的股价在宣布数据泄露后收盘下跌 5.9%，在 接下来的两周内总共下跌了 15%。 Capital One 信息泄露事件攻击原理图，可参见图： 图 1-1 CapitalOne 信息泄露事件攻击原理图 在介绍元数据服务带来的安全挑战之前，我们先来简单介绍一下元数据服 务以及角色的概念。 01．元数据服务以及角色介绍 元数据服务 元数据即表示实例的相关数据，可以用来配置或管理正在运行的实例。用 户可以通过元数据服务在运行中的实例内查看实例的元数据。以 AWS 举例，可 2 以在实例内部访问如下地址来查看所有类别的实例元数据： http://169.254.169.254/latest/meta-data/ 169.254.169.254 属于链路本地地址（Link-localaddress），链路本地地 址又称连结本地位址，是计算机网络中一类特殊的地址，它仅供于在网段，或 广播域中的主机相互通信使用。这类主机通常不需要外部互联网服务，仅有主 机间相互通讯的需求。IPv4 链路本地地址定义在 169.254.0.0/16 地址块。 而在具体的技术实现上，云厂商将元数据服务运行在 Hypervisor（虚拟机 管理程序）上。当实例向元数据服务发起请求时，该请求不会通过网络传输， 也永远不会离开这一台计算机。基于这个原理，元数据服务只能从实例内部访 问。 可以 PING 云厂商所提供的元数据服务域名，以查看其 IP 地址 图 1-2 从上图可见，元数据服务属于链路本地地址。从设计上来看，元数据服务 看起来很安全，那为什么说元数据服务脆弱呢？ 由于元数据服务部署在链路本地地址上，云厂商并没有进一步设置安全措 施来检测或阻止由实例内部发出的恶意的对元数据服务的未授权访问。攻击者 可以通过实例上应用的 SSRF 漏洞对实例的元数据服务进行访问。 因此，如果实例中应用中存在 SSRF 漏洞，那么元数据服务将会完全暴露在 攻击者面前。 在实例元数据服务提供的众多数据中，有一项数据特别受到攻击者的青睐， 那就是角色的临时访问凭据。这将是攻击者由 SSRF 漏洞到获取实例控制权限的 桥梁。 访问管理角色 既然攻击涉及到访问管理角色的临时凭据，我们首先看下访问管理角色是 什么：访问管理的角色是拥有一组权限的虚拟身份，用于对角色载体授予云中 3 服务、操作和资源的访问权限。用户可以将角色关联到云服务器实例。为实例 绑定角色后，将具备以下功能及优势：  可使用 STS 临时密钥访问云上其他服务  可为不同的实例赋予包含不同授权策略的角色，使实例对不同的云资源具有 不同的访问权限，实现更精细粒度的权限控制  无需自行在实例中保存 SecretKey，通过修改角色的授权即可变更权限，快 捷地维护实例所拥有的访问权限 具体的操作流程如下： 图 1-3 在将角色成功绑定实例后，用户可以在实例上访问元数据服务来查询此 角色的临时凭据，并使用获得的临时凭据操作该角色权限下的云服务 API 接 口。 02．针对元数据服务的攻击 接下来我们将介绍下针对元数据服务的一些常见的攻击模式。攻击者可 以首先通过目标实例上的 SSRF 漏洞获取与实例绑定的角色名称（rolename）。 攻击者可以构造访问元数据接口的 payload，并通过存在 SSRF 漏洞的参数传 递： http://x.x.x.x/?url=http://169.254.169.254/latest/meta-data/ iam/info，在获取到角色名称后，攻击者可以继续通过 SSRF 漏洞获取角色的 临时凭证：http://x.x.x.x/url=http://169.254.169.254/latest/metadata /iam/security-credentials/<rolename> 获取角色临时凭据的案例可参见下图: 图 1-4 从上图可见，攻击者可以获取角色的 TmpSecretID 以及 TmpSecretKey。 4 在攻击者成功获取角色的临时凭据后，将会检查获取到的角色临时凭据 的权限策略。有的时候，可以通过获取到的角色名称，来猜测该角色的权限 策略，例如角色名为：TKE_XXX，则这个角色很大可能是拥有操作 TKE 容器服 务的权限。 此外，如果获取的临时密钥拥有查询访问管理接口的权限，攻击者可以 通过访问“访问管理”API 来准确获取的角色权限策略。可以通过如下几种方 式判断获取角色的权限策略： 1、通过使用临时 API 凭据访问“获取角色绑定的策略列表”API 接口， 见下图： 图 1-5 从上图可见，攻击者获取到的与实例绑定的角色的临时凭据权限策略是 “AdministratorAccess”,这个策略允许管理账户内所有用户及其权限、财 务相关的信息、云服务资产。 2、通过使用临时 API 凭据访问“获取角色详情”API 接口，见下图： 图 1-6 通过查询的返回结果可以见，角色的权限策略为 AssumeRole。 在弄清楚窃取的凭据所拥有的权限后，攻击者便可以通过凭据的权限制 定后续的攻击流程。但在开始后续的攻击阶段之前，攻击者会先判断当前权 限是否可以获取目标的数据资源。 在所有云资源中，攻击者们往往对目标的数据更加感兴趣。如果攻击者 获取的密钥拥有云数据库服务或云存储服务等服务的操作权限，攻击者将会 尝试窃取目标数据。临时凭据同样也可以帮助攻击者们在目标实例中执行指 令并控制实例权限。 5