《绿盟科技：2023公有云安全风险分析报告（84页）.pdf》由会员分享，可在线阅读，更多相关《绿盟科技：2023公有云安全风险分析报告（84页）.pdf（84页珍藏版）》请在三个皮匠报告上搜索。

1、CONTENTS执行摘要101公有云安全发展趋势分析1022023 年重大云安全事件回顾32.1简介42.2微软 AzureActiveDirectory 配置错误导致 Bing 服务受到严重影响42.3全球范围 VMwareESXi 服务器遭至勒索软件攻击42.4DigitalOcean 存储桶被公开访问，印度跨国银行数百万数据遭遇泄露52.5约 3TB 托管至 Azure 上的美国内部军事电子邮件数据遭至泄露52.6阿里云数据库服务被曝严重漏洞“BrokenSesame”52.7勒索软件团伙 CL0P 利用了 MOVEitCloudSQLi 零日漏洞：受害机构数量逼近 900 家，影响人数

2、超 2000 万62.8ToyotaConnected 云配置错误导致大规模数据泄露长达多年62.9丹麦知名云服务被黑，所有数据丢失62.10微软研究团队使用的 AzureBlob 存储桶意外暴露 38TB 隐私数据7CONTENTS2.11英国政府承包商使用的 S3 存储桶泄露大量员工敏感数据 72.12小结703云服务配置错误的安全风险分析83.1容器镜像仓库泄露风险分析93.2源代码仓库泄露风险分析153.3存储桶泄露风险分析193.4小结2504云服务自身的安全风险分析274.1跨租户劫持风险分析284.2权限配置错误风险分析314.3小结3505连接云服务的第三方供应链安全风险分析3

3、75.1DevOps 与云计算385.2DevOps 风险分析385.3小结72CONTENTS06总结与展望7307参考文献761总结与展望执行摘要2023 年，云计算持续迅猛发展，广泛渗透各行业，随着应用程序在混合云和多云环境中的部署增加，面向租户的云上风险也相应提升，如攻击者可利用互联网上泄露的凭证信息访问租户资产，并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置，直接获取云存储桶内的敏感信息，以上风险最终会造成数据泄露事件的发生。其次，公有云服务自身也存在漏洞，若云厂商未及时对漏洞进行修复，攻击者可通过漏洞利用对租户的云服务发起攻击，造成不良后

4、果。最后，开发运营一体化（DevOps）使得用户对应用运营变得更加便捷，但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。本篇报告，绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析，总结了 2023 年的十大云安全事件，围绕十大事件风险根因，联合创新研究院孵化中心进行了云上风险发现的研究。报告主要内容如下：第一章，我们对未来云安全发展趋势进行了简要分析，我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险；第二章，我们简要分析了 2023 年十大典型云安全案例。基于时下热点事件分析网络安全态势，有助于

5、我们“以史为鉴”，预防潜在同类安全事件发生；第三章，我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键服务的密钥信息，也可能存储用户的隐私数据，这给攻击者提供了更多的攻击面，将会导致更多数据泄露事件的发生；第四章，我们对公有云服务自身的安全性进行了分析，如公有云数据库服务自身的安全性较容易被忽略，且数据库中存放用户敏感数据，如账号信息，个人信息等，因此也成为攻击者关注的目标之一；第五章，我们分析了用户在云上部署的开发运营一体化 DevOps 服务的安全性。DevOps流程中，用户使用大量的第三方服务或者依赖库，使用的服务镜像，都有可能存在漏洞，更可

6、能存在敏感数据泄漏的风险。希望通过本报告，各位读者能了解、发现自己云上资产的暴露面和攻击面，以防范潜在的攻击。22023 公有云安全风险分析报告绿盟科技星云实验室观点 1：安全左移过程中，自建仓库的风险应重点关注，研究表明，暴露在互联网上的超过 10%镜像仓库存在镜像泄露风险，约 16%代码仓库存在未授权访问漏洞，且绝大部分自建仓库中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被利用，可能会对数据拥有者造成较大的经济和名誉损失。观点 2：绿盟科技统计的 2023 年重大云安全事件中，约四成是因为人为错误配置导致的云存储桶数据泄露，这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和