云环境常见攻击与漏洞解析

原创于 2025-10-19 09:09:50 发布 · 657 阅读

CC 4.0 BY-SA版权

文章标签：

2 云环境中的常见攻击与漏洞

诸如云计算之类的技术先进系统，无论云解决方案提供商的规模大小，都会遭受各种各样的攻击。事实上，云服务提供商的规模并不能使其免受网络攻击的影响。大多数这些攻击是常见的，并已被安全专家识别，而其他一些攻击则从其在云系统中的应用方式和所能达到的效果来看，可被视为新型攻击。

确实，近年来云安全已经取得了发展。密码学的进步被应用于云解决方案中；在分布式系统中应用最佳安全实践和安全措施就是这些进步的例证，尽管云解决方案中仍然存在重大的安全问题，需要有实际和理论上的解决方案。因此，现有的安全问题使云用户成为攻击的受害者，导致数据和信息可能丢失、被篡改或被盗。基于上述假设，以下是影响云解决方案的一些攻击和漏洞示例。

2.1 云系统中的攻击类型

针对云系统存在多种不同的攻击和威胁。其中一些攻击之所以可能发生，正是因为存在云解决方案。另一些则被认为是常见攻击的变种，区别在于这些攻击针对的是云解决方案和云用户可用的计算资源。以下简要描述了已知针对小型、中型或大型云服务提供商及其解决方案的攻击[1 – 12]。

拒绝服务

基本上，拒绝服务（DoS）会使云资源对用户不可用[4 , 6 ]。通常此类攻击的影响较大，因为许多用户使用云资源，因此造成的损害可能非常高。

拒绝服务攻击的特点是，当云组件遭受攻击时，由于负载过高而导致资源耗尽。通过滥用协议漏洞或大幅增加对云页面或文件的请求量，可使服务受到大量请求冲击，从而消耗处理能力和带宽，这不仅影响物理基础设施，也影响内存和CPU等虚拟化组件。

有时，当云服务提供商试图对抗攻击者时，例如通过提供更多计算能力，实际上在某种程度上反而支持了攻击者，使其能够从单一入口点对服务可用性造成更大的损害。在这种情况下，攻击者不必淹没单一目标（即单个服务器或单一IP地址），而只需淹没单一云服务地址即可导致系统完全不可用。

分布式拒绝服务

分布式DoS（DDoS）被视为拒绝服务攻击的一种变体。它具有相同的评估要点，但由于参与攻击的实体更多，因此产生的流量呈指数级增长。

分布式拒绝服务攻击旨在耗尽设备基础设施资源，导致服务中断及其不可用。

这种攻击以分布式方式进行，不同的实体向云服务提供商发送大量数据进行处理。

考虑到其容量型方法，分布式拒绝服务攻击基本上是通过大量请求来使服务不堪重负，其中多个节点以协调的方式发送流量，从而提高攻击效率，并且由于通常对发起攻击的协调者进行混淆，使得缓解更加复杂。

分布式拒绝服务攻击和拒绝服务攻击可分为两大类：容量型攻击和协议滥用。协议滥用包括低流量、低速率攻击，此类攻击利用特定的协议特性、特征或实现细节发起合法流量探测，导致受害者资源耗尽，从而无法正常响应合法请求。而容量型攻击则包括通过大流量淹没受害者，超出其处理能力或链路带宽，致使合法请求无法被处理的攻击。

放大反射DDoS

放大反射DDoS（AR‐DDoS）被认为是一种容量型攻击，可分为洪泛攻击和放大反射攻击。这两种形式都试图通过向受害者发送大量流量来使受害者资源（通常是带宽）过载。

在洪水攻击中，受控实体直接向受害者发送流量，而在反射攻击中，则利用名为反射器的中间实体来淹没受害者。对攻击者而言，反射器是任何接收到先前请求后发送响应的实体。

通常感兴趣的反射器是那些能够放大的，即其响应产生的流量体积大于原始输入。这种行为由反射因子表征，表示反射器生成的流量大小。基本上，通过放大攻击，反射器会放大生成的流量，从而使资源不可用。

需要指出的是，AR‐DDoS 对攻击者具有吸引力，因为它所需的投入远低于其他形式的分布式拒绝服务攻击，在后者中，节点必须通过手动或恶意软件的方式被攻陷，以为攻击做准备。而在 AR‐DDoS 的情况下，攻击者只需识别出由于配置错误而易受反射攻击的节点即可。从攻击者的角度来看，使用自动化脚本和程序来识别可能的反射器非常容易，而这些脚本和程序本身也极易被修改以执行攻击。

恶意软件注入

云解决方案允许用户随意在虚拟文件系统中读写文件。大多数情况下，普通用户只需一个常规账户，即可上传云服务提供商允许空间范围内的任意数量文件。在这种情况下，攻击者也可以将恶意软件上传至云文件系统，从而诱骗用户下载并执行这些文件[4 – 7]。由于恶意软件可以嵌入大量不同类型的文件中，攻击者可能能够绕过云安全解决方案，因为这些方案仅限于少数文件类型。这种情况会导致检测覆盖过程的降级。此外，将二进制文件或各种类型的文件导出到云中进行调查并不能被视为一种良好做法，因为它可能通过向云中大量注入良性二进制文件而造成故障点。

更高级的可能性包括攻击者操纵云解决方案中的服务实例。从服务操纵的角度来看，攻击者可以控制虚拟机以实现其任意目的，范围从数据修改到窃听。通常，此类攻击需要创建云模块，例如软件即服务（SaaS）、平台即服务（PaaS）或基础设施即服务（IaaS），并欺骗云服务提供商，使其相信这是云解决方案提供的正常服务的一部分。如果成功，云服务提供商会将用户请求重定向到攻击者的服务，从而向用户部署代码以实现攻击者的任何意图。

服务盗用

利用某些虚拟化管理程序的调度程序中的漏洞，实施盗用服务攻击[5 ]。此类故障可能使攻击者能够以牺牲他人为代价获取云服务。基本上，当虚拟化管理程序使用的调度机制未能检测并正确记录行为异常的虚拟机对资源使用的相关信息时，就会发生此类攻击。

由于管理程序负责调度以及管理虚拟机，管理程序调度程序中的漏洞可能导致调度不准确和不公平。因此，攻击者可以通过在其调度时钟周期中从不调度其进程来在系统中获得优势。这样一来，攻击者可以长期使用云服务提供商的资源（存储系统或操作系统平台），而不会在计费周期中体现出来。

身份验证滥用

身份验证被认为是云服务提供商中的一个薄弱环节[ 7]。许多云解决方案仍然使用用户名/密码机制来对其用户进行身份验证。此外，身份验证的糟糕实现使得攻击者能够轻易地控制云环境中的用户账户。存在大量用于窃取密码、攻击密码系统以及绕过身份验证安全性的技术和方法。

这类攻击基本上试图利用身份验证过程来验证用户、服务或应用程序的身份。此类攻击包括暴力破解，即攻击者通过自动化的试错过程反复猜测用户名和密码；认证不足，即攻击者在未正确向系统进行身份验证的情况下访问包含敏感内容或功能的网络服务；以及弱密码恢复验证，即攻击者能够访问提供非法获取、更改或恢复其他用户密码功能的服务。

侧信道攻击（SCA）是指基于系统物理实现所泄露的信息而发起的任何攻击，而非通过暴力破解或系统的理论弱点 [6 , 7 ]。所获取的信息，例如时间信息、功耗、电磁泄漏、声学数据、差分故障、数据残留或行锤击，可能提供额外的信息来源，可被利用来突破系统。

云解决方案中的侧信道攻击（SCA）发生在硬件泄露对潜在攻击者有用的信息时；因此，攻击者会尝试通过在目标云服务器系统附近部署恶意虚拟机，然后发起侧信道攻击，以获取额外信息，再结合其他方法实现对系统的控制或干扰其正常运行。侧信道攻击存在于基础设施即服务（IaaS）、软件即服务（SaaS）和平台即服务（PaaS）类型的云服务提供商中。

为了有效，一些SCA需要具备有关系统内部操作及其实施细节的技术知识。

包装

在合法用户与Web服务器之间转换SOAP消息期间会进行包装攻击[1 , 4]。此类攻击利用XML签名包装（或XML重写）来漏洞利用Web服务器验证已签名请求时的弱点。通过在登录阶段复制用户的账户和密码，攻击者可将伪造元素嵌入消息结构中，将原始消息体移至封装器之下，用恶意代码替换消息内容，然后将该消息发送至服务器。

由于原始正文仍然有效，服务器将被欺骗，从而授权实际上已被篡改的消息。结果，攻击者能够获得对受保护资源的未授权访问，并随意在系统中执行其命令。

由于大多数云用户通常通过网页浏览器向云计算服务提供商请求服务，因此包装攻击也可能对云系统造成损害，攻击者可能在云服务提供商的受害者账户上执行非特权操作。

在跳板攻击中，攻击者试图实现其目标，同时避免暴露其身份和位置，以尽量减少被检测和溯源的可能性 [9 ]。

通常，此类攻击是通过一系列中间主机（跳板）间接攻击目标受害者来实现的。这些主机可能来自非法的僵尸网络（包括租用形式），其中僵尸网络控制者可以设置命令与控制服务器，并将跳板部署到云服务提供商的环境中，目的是窃取敏感信息或获得对云资源的未授权访问，使其行为异常。

账户/服务劫持

攻击者一旦获得账户访问权限，就可以操纵和修改数据，从而使数据变得不可信 [8 , 9 ]。从这一角度来看，任何能够访问托管在云服务提供商处并包含企业业务系统的虚拟机的攻击者，都可以将恶意代码植入该系统以攻击用户。

如果攻击者控制了该环境，还可以通过关闭服务来中断服务，导致用户无法访问。

中间人（MITM）攻击是指攻击者将自己置于两个实体之间 [6 , 8 ]。每当攻击者能够将自己置于通信路径中时，就有可能秘密地转发和篡改双方之间的通信，而双方却认为他们正在直接相互通信。

中间人攻击也是一种允许主动窃听的攻击。攻击者与受害者建立独立的连接，并在他们之间转发消息，使他们相信自己正在通过私有连接直接通信，而实际上整个对话都由攻击者控制。在这种情况下，攻击者必须能够拦截两个受害者之间传递的所有相关消息，并注入新的消息。中间人攻击被用于许多场景中，包括云通信过程。

勒索软件

勒索软件是一种由恶意应用程序支持的攻击，它会窃取用户设备或数据的控制权，或者锁定系统屏幕或用户文件，然后要求用户支付费用来恢复对被劫持内容或系统的正常访问[1 3]。

一些勒索软件会加密文件，使用户在没有解密密钥的情况下无法正常访问。这种恶意软件通常被称为加密型勒索软件。

从云的角度来看，如果用户将其文件存储在云中的同步文件夹内，并且遭遇了对其文件进行加密的勒索软件，那么在同步过程中，所有设备都可能被加密版本的文件覆盖，导致用户完全丢失其数据。同样从云的角度来看，如果勒索软件获得了对云基础设施（操作系统或虚拟机）的控制权，则可以掌控该基础设施，从而导致云服务全面中断。

云端中间人

云中间人（MITC）攻击依赖于常见的文件同步服务[1 4, 1 5]。此类服务可利用同步服务来实现命令与控制（C&C）、数据渗出或远程访问（或同时实现全部功能）。这种攻击的一个问题是，普通安全措施难以轻易检测到。在这种攻击中，攻击者即使未获取受害者的凭据，也能访问受害者账户。

MITC 不需要使用任何特定的恶意代码或漏洞利用，而由于使用了众所周知的同步协议，使得正常流量与恶意流量极难区分。它基本上需要获取大多数云存储系统使用的令牌凭据，并通过钓鱼攻击针对用户，以便实施攻击的初始步骤并使攻击者获得同步令牌。

一旦攻击者获得了同步令牌，就可以共享受害者的文件同步账户，从而能够访问文件并用恶意软件感染这些文件。在正常流程中，这些文件将被受害者的客户端应用程序同步，进而感染恶意代码。

网络钓鱼

网络钓鱼是一种通过社会工程学技术试图获取用户个人信息的攻击[7 ]。通常通过在电子邮件或即时消息中发送恶意网站链接，或附带包含恶意软件或漏洞利用的文件来实施。

普通用户很难正确识别网络钓鱼攻击，因为用户接收到的信息看似正确，似乎会引导至合法网站进行验证。但实际上，该攻击会将用户引导至伪造地点。通过这种欺骗手段，攻击者可以获取用户凭据等敏感信息。

钓鱼攻击活动可以利用云服务托管在云服务提供商的网站上，从而使攻击者通过传统的社会工程学技术劫持云中的账户和服务。

SQL注入

攻击者可能会利用Web服务中应用程序的糟糕实现漏洞，注入恶意代码，以绕过认证控制并获得对后端数据库的未授权访问，从而获取有价值的第三方信息。

如果这种攻击成功，攻击者可以操纵数据库中的数据、获取机密数据、远程执行系统命令，甚至控制Web服务器以进行进一步活动。

跨站脚本

当云应用向浏览器发送包含用户提供的数据的页面时，若未进行验证、过滤或转义，则可能发生此类情况。在这种情况下，攻击者会将恶意脚本注入易受攻击的动态网页中，以在受害者的网页浏览器中执行。

跨站式脚本（CSS）允许攻击者窃取凭证、执行任意代码、操纵会话数据，甚至强制在受害者环境中下载内容。

目标共享内存

攻击者可能会利用物理机和虚拟机的共享内存（缓存或主内存），从而引发多种不同类型的攻击。

在这种情况下，攻击者可以获得对信息的未授权访问，这些信息可能揭示云的内部结构。此类信息可能各不相同，但可能暴露特定时间内正在运行的进程数量、登录用户数量，或驻留在内存中的临时Cookie等详细信息。

2.2 根据通用安全机制对攻击进行分类

在简要介绍最常见的攻击后，表2.1给出了攻击的一般分类及其影响的安全属性。

云服务提供商存在各种漏洞，这些漏洞可被用来实施不同类型的攻击。

某些类型的漏洞并非云解决方案所独有，任何具备适当手段的攻击者都可以加以利用。以下是针对云解决方案的常见漏洞的简要描述 [ 1, 5, 6, 8, 9, 14]。

虚拟机共驻

共驻意味着多个独立的客户端共享相同的物理基础设施。具体来说，属于不同客户端的虚拟机可能会被放置在同一台物理机器上。通过共驻，可能会出现跨虚拟机攻击或恶意系统管理员等安全问题，从而干扰正常的云环境和操作。

会话劫持

当攻击者能够窃取并使用标识特定用户到系统或应用程序的_cookies_时，就会发生会话劫持。攻击者还可能利用跨站请求伪造（CSRF）攻击，诱使用户向任意网站发送经过身份验证的请求，以实现各种攻击目标。

虚拟机逃逸

在云基础设施中，物理服务器在虚拟化管理程序之上运行多个虚拟机。攻击者可以通过利用虚拟化管理程序自身存在的特定漏洞，远程进行漏洞利用；从而导致虚拟机逃逸出虚拟化沙箱环境，获得对虚拟化管理程序的访问权限，并进而访问其上运行的所有虚拟机。

失去物理控制

云用户可能会将其数据和软件解决方案外包给云提供商。实际上，他们失去了对数据集、软件和系统的直接控制。从根本上说，失去物理控制意味着客户端将无法再抵御某些类型的攻击。在这种情况下，数据或软件可能被篡改、丢失甚至删除；因此，使用传统方法很难在云解决方案中确保数据/计算完整性以及机密性。

2.2 根据通用安全机制对攻击进行分类（续）

表2.1 云组件中的漏洞类型
| 攻击 | 可用性 | 身份验证 | 授权 | 密钥分发 |
|------|--------|----------|-------|---------|
| 拒绝服务 | X | X | X | X |
| 分布式拒绝服务 | X | X | X | X |
| 放大反射DDoS | X | X | X | X |
| 恶意软件注入 | X | | | X |
| 服务盗用 | X | | | X |
| 身份验证滥用 | X | X | | X |
| 侧信道攻击 | X | X | | |
| 包装 | X | X | | |
| 跳板攻击 | X | X | | X |
| 账户/服务劫持 | X | X | X | |
| 中间人（MITM） | X | X | X | |
| 勒索软件 | X | X | X | |
| 云端中间人（MITC） | X | X | X | |
| 网络钓鱼 | X | X | X | X |
| SQL注入 | X | X | X | |
| 跨站脚本 | X | X | X | |
| 目标共享内存 | | X | X | |

2.3 根据通用安全机制的漏洞分类

在简要解释最常见的漏洞之后，表2.2给出了攻击的一般分类及其影响的安全属性。

表2.2 攻击的一般分类及受影响的安全属性
| 漏洞 | 可用性 | 身份验证 | 授权 | 密钥分发 |
|------|--------|----------|-------|---------|
| 虚拟机共驻 | X | | | |
| 会话劫持 | X | X | X | |
| 虚拟机逃逸 | X | X | X | |
| 失去物理控制 | X | X | X | X |
| 服务的可靠性和可用性 | X | | | |
| 无法提供保密性 | X | | X | X |
| 互联网依赖 | X | | | |
| 云服务终止 | X | | | |

2.4 针对云解决方案的威胁

除了影响云解决方案的漏洞之外，还可能存在各种威胁影响云服务提供商和用户。以下是一个简要列表 [1, 4–7]。

可被黑客攻击的接口和API

几乎每个云服务提供商都提供服务解决方案和应用程序接口以支持开发。代码开发者通过应用程序编程接口与云系统交互，包括用于配置、管理、编排和监控的解决方案。

云解决方案的安全性和可用性与API的安全措施密切相关。换句话说，接口和应用程序编程接口的安全实现薄弱会使云解决方案面临与保密性、完整性、可用性和可问责性相关的安全问题。

数据泄露

困扰云环境的许多威胁与传统企业网络面临的担忧相同。事实上，云解决方案存储的数据量比企业网络更大，因此成为更有价值的目标。

数据泄露所暴露的数据敏感性与对用户和云解决方案可能造成的潜在损害密切相关。财务信息、健康信息、商业秘密和知识产权在许多方面都可能造成严重后果。

由于数据泄露，云服务提供商可能会被处以高额罚款，并面临诉讼甚至刑事指控，这反过来会给企业带来高昂的成本。品牌损害和客户流失等间接后果可能会在多年内影响企业。

恶意内部人员

内部人员有许多可能性 [10]。可能是现任员工、前任员工、系统管理员、承包商、商业伙伴等。内部人员的动机各不相同，从不满到数据盗窃都有可能。

由于其特性和所拥有的访问权限级别，内部人员可能会破坏整个系统或操纵数据。

受损凭据和身份验证失效

安全机制的不当实施通常会导致用户凭证泄露和身份验证问题被突破。云解决方案可能存在与用户角色相关的身份管理问题。强安全机制有助于避免此类问题。

此外，开发错误（例如在软件代码中硬编码凭证、在源代码中嵌入加密密钥或将源代码分发到公共仓库）使得这一问题比原本更加严重。用户凭据、用户角色、身份验证代码和令牌必须得到妥善实现，并防止未经授权的操作。

账户劫持

许多攻击为攻击者提供了入侵其能够管理的尽可能多账户的可能性。欺诈、软件漏洞利用和钓鱼活动在云解决方案中仍然具有很高的成功率。用户与服务之间共享身份验证凭证的问题增加了此类可能性。

拥有被攻陷账户的攻击者可能会发动新的攻击，窃听用户活动，在被攻陷账户的名义下操纵数据或信息，控制交易，以及其他攻击者认为有希望的多种机会。

被利用的系统漏洞

通常，云解决方案会共享内存、数据库、文件系统和其他资源等基础设施解决方案。这些资源彼此之间也十分接近。系统的可利用漏洞可能会影响整个基础设施，从而导致数据泄露、信息丢失、被盗信息等问题。由于云解决方案中的多租户特性，这一问题在云解决方案中似乎更加严重。所有这些都形成了新的攻击面，攻击者可以借此进行探索。

高级持续性威胁

高级持续性威胁（APT）具有高度的分析和技术特征，能够利用多种途径（无论是物理的、虚拟的、社会工程的、隐蔽的或其他途径）实现战略目标。

APT被用来在目标基础设施内部建立并维持持续的隐蔽访问，只要攻击者需要，便可长期存在，并执行攻击者的意图 [16]。

通过APT，攻击者可能会造成损害、延迟操作、破坏信息、窃取数据和信息、在系统中引发错误信号，以及更改信息和系统参数。

高级持续性威胁会在很长一段时间内追求其目标，能够适应新情况，规避技术防御措施，并持续与其指挥与控制系统保持通信，甚至使用空气隔离技术。此外，高级持续性威胁具备高级漏洞利用技术，使用没有适当防御措施的攻击，并可能利用漏洞作为感染的起点。

高级持续性威胁利用隐蔽的功能，使其不易被常见的防御边界技术检测到。它可能会改变自身行为以绕过检测，可能依附于其他程序，甚至可能修改固件和设备驱动程序，因此若不付出巨大努力就无法从受感染的资源中将其清除。这些特性使得高级持续性威胁难以被发现，从而也难以有效制定应对措施。

云服务滥用

云服务可能被滥用以支持或助长不良活动的计算能力（例如，破解加密密钥）。其他活动可能包括发动分布式拒绝服务攻击、发送垃圾邮件、钓鱼邮件或托管恶意内容。

永久性数据丢失

数据丢失是一种由于错误或蓄意攻击而影响云解决方案的威胁。已知恶意用户会永久删除云数据以损害企业。此外，云数据中心与任何设施一样，也容易受到自然灾害的影响。

防止数据丢失的责任并不完全在云服务提供商身上。如果用户决定在将数据上传到云之前对其进行加密，但随后丢失了密钥，那么他也同样会丢失数据。

共享技术

共享技术可能意味着共享风险，因为共享漏洞对云系统构成重大威胁。影响任何应用程序的共享漏洞会影响托管该应用程序的每台服务器。对于影响基础设施或平台的漏洞同样适用。因此，单个配置错误或漏洞可能导致整个云服务提供商的系统被攻破。

尽职调查不足

如果组织的开发团队对云计算技术不够熟悉，那么在将应用程序部署到特定云时，可能会出现运营和架构问题。

此外，那些在未充分了解云环境及其相关风险的情况下采用云的组织可能会遇到许多不同类型的相关风险。

拒绝服务攻击

基本上，拒绝服务攻击会影响可用性。考虑到云服务提供商，由于云系统中可用的资源，这种攻击可能会更加严重。某些类型的拒绝服务攻击需要大量努力和协作措施来缓解并尝试阻止攻击。

2.5 根据一般安全机制对威胁的分类

在简要介绍最常见的威胁之后，表2.3给出了威胁的一般分类及其影响的安全属性。

表2.3 威胁分类及其影响的安全属性
| 威胁 | 可用性 | 身份验证 | 授权 | 密钥分发 |
|------|--------|----------|-------|---------|
| 可被攻击的接口和APIs | X | X | X | |
| 数据泄露 | X | X | | |
| 恶意内部人员 | X | X | X | |
| 受损凭据和身份验证失效 | X | X | X | X |
| 账户劫持 | X | X | X | |
| 被利用的系统漏洞 | X | X | X | X |
| 高级持续性威胁 | X | X | X | X |
| 云服务滥用 | X | X | X | X |
| 永久性数据丢失 | X | | | |
| 共享技术 | X | X | X | X |
| 尽职调查不足 | X | X | X | X |
| 拒绝服务攻击 | X | | | |

2.6 与云解决方案提供商相关的对手类型

影响云服务提供商的安全威胁可能来自不同来源。云服务提供商可能是自私、恶意甚至不可信的。云服务提供商可能会出于财务原因，故意将很少访问的数据转移到较低级别的存储中。或者，它可能会试图掩盖因管理错误而导致的数据丢失事件。

另一方面，合法的云提供商也可能面临动机强烈且资金充足的对手。凭借此类能力，这类对手可能能够在不同的时间段内破坏多个云数据存储服务器。因此，它能够在一段时间内修改或删除用户数据而不被发现。无论如何，以下是云服务提供商可能遇到的一些对手类型 [11, 12]。

弱对手

此类对手倾向于进行小规模但具有破坏性的行为，例如篡改存储在单个服务器上的用户数据文件。一旦被攻陷，该对手便可篡改原始数据文件或引入其自身的欺诈性数据，从而阻止用户检索原始数据。

强对手

这类对手能够攻破所有存储服务器。只要内部保持一致，该对手便可故意修改数据文件。它具备随意在服务器之间移动的能力，或者可以创建和删除虚拟资源，因为它能够管理基础设施，还能蓄意共享私有数据。

自私的云服务提供商

云服务提供商可能是自私的、不可信的或恶意的。它可能会为了盈利而将很少访问的数据转移到较低级别的存储层。由于管理错误或复杂的故障导致用户数据丢失时，它也可能试图隐瞒。它还可能操纵其服务器以制造共谋，从而在对抗对手时获取优势。本质上，这是一个不可信赖的服务提供商。

经济动机驱动的对手

对手是指那些能够在一段时间内的不同时间间隔中，保持不被云服务提供商检测到，并攻陷多个云数据存储服务器的人。他们可以操纵或删除用户的数据，或者通过修改来破坏用户的文件，甚至用他们自己的数据替换原始数据文件，以阻止用户恢复原始数据。在最严重的情况下，只要内部保持一致，他们可以故意修改整个存储服务器上的数据文件，即所有服务器协同隐藏数据损坏事件或数据丢失。

恶意内部人员

可以将其定义为在云基础设施中具有高访问权限的一类用户，且对该云服务提供商本身感到不满。这类对手拥有对网络、系统或数据的授权访问权限。

他可能有意超出或滥用该权限，从而对云系统的保密性、完整性或可用性造成负面影响。

云系统的攻击面

通常，任何云环境都可以使用三个单一类别来建模：（i）服务用户，（ii）服务实例，以及（iii）云服务提供商[2, 3, 7, 9]。通常，云解决方案中的任何交互至少涉及这些类别的两个实体。例如，用户请求服务，或服务实例向基础设施系统请求更多CPU资源。

从这一角度来看，云环境中的任何攻击都对应于三类模型中的一组交互。因此，一个用户和一个服务实例具有与云外部存在的完全相同的攻击向量集（例如，SQL注入、跨站脚本攻击、拒绝服务攻击等）。

考虑到这些假设，讨论云安全意味着将云服务提供商作为参与者之一来探讨攻击。云服务提供商本身并不一定需要是恶意的；它可能只是在正在进行的攻击或一系列组合攻击中扮演中间角色。基本上，攻击面如表2.5所示进行划分。

表2.5 攻击面
| 攻击面 | 描述 |
|--------|------|
| 服务到用户 | 这是普通的服务器到客户端接口，从而实现了各种类型的影响常见客户端‐服务器架构的攻击 |
| 用户到服务 | 它是客户端程序为服务器提供的公共环境。此攻击面影响基于浏览器的应用程序的攻击，浏览器缓存等 |
| 云到服务 | 基本上，此攻击面与服务实例相关，涵盖服务实例可以对其云服务提供商发起的所有攻击 |
| 服务到云 | 它包括云服务提供商可以对在其基础设施上运行的服务发起的任何类型的攻击 |
| 云到用户 | 很难定义，因为在普通场景中，两者之间存在一个服务。但这些服务更多与云控制相关，例如添加新服务或要求增加正在使用的服务实例数量 |
| 用户到云 | 它与任何以用户为目标并起源于（无论是）云系统中的（伪造或非伪造）的攻击类型相关 |