Anduoduo Cloud Security Platform · Technical Resource
速修!攻防演练期间,业务上云的100个安全风险
速修!攻防演练期间,业务上云的100个安全风险 作者:让天下没有难做的安全 发布时间:2025年7月29日 原文链接:微信公众号 声明:本文未使用任何 AI 生成技术。 随着云和 API 带来的业务复杂度提升,业务在上云和运维阶段不断引入新的风险,安全和业务团队后续治理成本高昂,攻防对抗存在严重的失分项。 以下列出常见的使用国内云平台如阿里云、火山引擎的 T
速修!攻防演练期间,业务上云的100个安全风险
作者:让天下没有难做的安全 | 发布时间:2025年7月29日
原文链接:微信公众号
声明:本文未使用任何 AI 生成技术。
随着云和 API 带来的业务复杂度提升,业务在上云和运维阶段不断引入新的风险,安全和业务团队后续治理成本高昂,攻防对抗存在严重的失分项。
以下列出常见的使用国内云平台如阿里云、火山引擎的 Top 安全风险,供甲方安全 SOC 运营中心添加规则。
适用于 CISO、安全架构师,不适合白帽子传播。
最佳实践
- 事前:通过 Landing Zone 上云框架进行整体设计,构建一个安全合规的多云环境
- 事中:落实漏洞治理主体责任,通过引入更多的 AI 的能力进行降本提效
- 事后:上线后引入安多多安全中心运营,平台已经支持以下全部检测加固。安多多采用与 Wiz 类似的技术架构,识别云环境中的安全风险
安全风险清单
严重风险
| 风险 | 根因 | 标签 |
|---|---|---|
| 滥用IAM PassRole权限,将高特权角色非法绑定至其创建的云主机实例 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| 禁止公网暴露Service与Ingress | 供应商未实现默认安全、敏感服务暴露在公网、网络架构配置不当 | 外部暴露面、容器、环境探测 |
| 滥用IAM PassRole权限,将高特权角色非法绑定至其创建的云函数 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| 黑客工具teamssix CF接管控制台 | 漏洞与基线风险未修复 | 可疑事件、异常行为活动、持久化驻留、敏感操作、高权限 |
| 禁止启用SQL Server系统管理员(SA)账户 | 权限管理不严(过度授权)、漏洞与基线风险未修复 | 凭证访问、基线配置、高权限 |
高风险
| 风险 | 根因 | 标签 |
|---|---|---|
| 公网开放的云服务器安全组入站规则范围过大 | 敏感服务暴露在公网 | 外部暴露面 |
| 公网开放的redis未禁用高危命令存在挖矿风险 | 供应商未实现默认安全、漏洞与基线风险未修复 | 基线配置、挖矿和资源劫持 |
| 禁止云函数环境变量硬编码敏感凭证 | 密码策略弱、数据未加密保护 | 不安全的用户凭据 |
| 禁止Kibana公网暴露 | 敏感服务暴露在公网、网络架构配置不当 | 外部暴露面 |
| 云函数绑定高危权限角色 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| 注入修改和绑定信任策略导致IAM横向移动风险 | 权限管理不严(过度授权) | 高权限 |
| Redis不应该对全部网段开放 | 网络架构配置不当 | 外部暴露面 |
| 禁止公网主机绑定高危角色且开放元数据服务 | 敏感服务暴露在公网 | 不安全的用户凭据、外部暴露面、数据泄露、高权限、高等级威胁 |
| 过度授权的sts:AssumeRole权限到云主机 | - | 高权限 |
| 通过LB开放公网访问的redis未禁用高危命令 | 供应商未实现默认安全、漏洞与基线风险未修复 | 基线配置、挖矿和资源劫持 |
| 轻量级服务器对公网开放 | 敏感服务暴露在公网 | 外部暴露面 |
| 公网开放关系型数据库开启高危命令配置 | 漏洞与基线风险未修复 | 漏洞 |
| 云服务器绑定高危权限角色 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| Redis未启用访问密码认证 | 密码策略弱 | 不安全的用户凭据、数据未受保护 |
| 网络ACL不应存在全部放通的入站规则 | 敏感服务暴露在公网、网络架构配置不当 | 外部暴露面 |
| 容器镜像强制使用摘要标识(Digest) | 供应商未实现默认安全、漏洞与基线风险未修复 | 供应链风险、容器、环境探测 |
| 网络ACL不建议存在非业务端口全部放通的入站规则 | 敏感服务暴露在公网、网络架构配置不当 | 数据擦除恶意软件 |
| 禁止存在未使用的IAM组 | 权限管理不严(过度授权) | 高权限 |
| COS存储桶应配置合理的桶策略 | 权限管理不严(过度授权) | 凭证访问、数据泄露、高权限 |
| 限制容器内核能力集Capabilities | 供应商未实现默认安全、漏洞与基线风险未修复 | 凭证访问、容器、数据泄露、环境探测 |
| Elasticsearch集群不应该开放公网访问 | 敏感服务暴露在公网、权限管理不严(过度授权) | 外部暴露面 |
| 限制容器镜像来源仓库 | 供应商未实现默认安全、漏洞与基线风险未修复 | 供应链风险、容器、环境探测 |
| 应该为数据库管理员账户设置修改密码 | 密码策略弱 | 凭证访问 |
| 禁止ServiceAccount绑定高权限角色 | 供应商未实现默认安全、漏洞与基线风险未修复 | 凭证访问、容器、环境探测 |
| 安全组不应放通全部网段任何端口 | 敏感服务暴露在公网、网络架构配置不当 | 外部暴露面、数据未受保护 |
| 高风险权限子账号应该开启操作保护 | 未启用多因素认证(MFA) | 凭证访问、数据未受保护、高权限 |
| 禁止容器访问集群元数据服务 | 供应商未实现默认安全、漏洞与基线风险未修复、网络架构配置不当 | 容器、环境探测 |
| 高风险权限子账号应该开启登录保护 | 密码策略弱 | 凭证访问、数据未受保护、高权限 |
| COS存储桶ACL公共权限不应该设置为公共读写 | 敏感服务暴露在公网、权限管理不严(过度授权) | 外部暴露面、数据未受保护 |
| 主机文件系统挂载限制 | 供应商未实现默认安全、漏洞与基线风险未修复 | 主机逃逸、容器、持久化驻留 |
| 禁止容器挂载高风险Volume类型 | 供应商未实现默认安全、漏洞与基线风险未修复、网络架构配置不当 | 凭证访问、容器、数据泄露、环境探测 |
| 主账户未开启登录和操作保护 | 密码策略弱、权限管理不严(过度授权) | 凭证访问、高权限 |
| 禁止创建高风险IAM后门角色 | AccessKey管理不善、权限管理不严(过度授权) | 凭证访问、持久化驻留、高权限、高等级威胁 |
| 禁止特权容器运行 | 供应商未实现默认安全、漏洞与基线风险未修复 | 凭证访问、容器、数据泄露 |
| 云服务器上的主机安全软件应正常运行 | 漏洞与基线风险未修复 | 修改安全防护措施、可疑事件、基线配置、数据未受保护、病毒木马、高等级威胁 |
| MySQL未创建非root用户 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| 镜像仓库权限应合理设置 | 敏感服务暴露在公网 | 凭证访问、外部暴露面、容器、数据未受保护 |
| 子用户不应该同时开启编程访问与用户界面访问 | AccessKey管理不善 | 不安全的用户凭据、凭证访问、高权限 |
| 云函数源代码或环境变量包含敏感信息 | 漏洞与基线风险未修复 | 数据未受保护、无服务器 |
| 数据库备份文件开启外网下载 | 敏感服务暴露在公网 | 数据未受保护、数据泄露 |
| 未启用容器运行时安全策略(Seccomp + AppArmor) | 供应商未实现默认安全、漏洞与基线风险未修复 | 主机逃逸、容器、容器逃逸检测、病毒木马 |
中风险
| 风险 | 根因 | 标签 |
|---|---|---|
| 数据库不应该对全部网段开放 | 敏感服务暴露在公网 | 外部暴露面 |
| 高风险权限子账号不建议启用API密钥 | AccessKey管理不善 | 凭证访问、高权限 |
| 建议子账号的API密钥不超过1个 | AccessKey管理不善 | 不安全的用户凭据、凭证访问 |
| 数据库应该启用备份 | 备份与容灾机制缺失 | 数据未受保护 |
| 禁止云函数直接公网暴露 | 敏感服务暴露在公网、权限管理不严(过度授权) | 外部暴露面 |
| etcd静态数据加密强制启用 | 密码策略弱、数据未加密保护 | 容器、数据未受保护 |
| 数据库审计保留时间应满足7天以上要求 | 日志与监控缺失 | 日志记录不足 |
| 负载均衡绑定的证书应该在有效期内 | 数据未加密保护、漏洞与基线风险未修复 | 修改安全防护措施、可用性影响、数据未受保护 |
| 消息队列rocketmq服务端口对公网开放 | 敏感服务暴露在公网 | 数据泄露 |
| 云数据库Redis未启用SSL加密 | 数据未加密保护 | 基线配置、数据未受保护 |
| 应删除废弃的IAM子账号 | 密码策略弱 | 不安全的用户凭据、凭证访问 |
| 数据库备份位于境外region | 漏洞与基线风险未修复 | 基础设施位置、基线配置 |
| 子账号未启用登录与操作保护 | 密码策略弱、权限管理不严(过度授权) | 凭证访问、高权限 |
| SSL证书应在有效期内 | 密码策略弱、数据未加密保护、漏洞与基线风险未修复 | 不安全的用户凭据、基线配置、外部暴露面 |
| 应该定期更换IAM子账号的API密钥 | AccessKey管理不善 | 不安全的用户凭据 |
| Mysql数据库备份未启用加密 | 数据未加密保护 | 数据未受保护、数据泄露 |
| 未开启关系型数据库审计 | 日志与监控缺失 | 日志记录不足 |
| 未开启MongoDB数据库审计 | 日志与监控缺失 | 日志记录不足 |
| 关系型数据库未启用透明数据加密(TDE) | 数据未加密保护 | 数据未受保护、数据泄露 |
| PostgreSQL弱密码加密算法检测 | 密码策略弱 | 漏洞 |
| 子账号应使用MFA进行登录和操作保护 | 未启用多因素认证(MFA) | 凭证访问、基线配置 |
| 未启用MongoDB静态数据加密 | 密码策略弱 | 数据未受保护 |
| 消息队列Kafka服务端口对公网开放 | 密码策略弱、敏感服务暴露在公网、网络架构配置不当 | 外部暴露面、数据未受保护 |
| 应该删除IAM子账号废弃的API密钥 | AccessKey管理不善 | 不安全的用户凭据 |
| 数据库实例强制使用私有网络(VPC) | 网络架构配置不当 | 外部暴露面 |
| 未强制开启KMS密钥自动轮转 | 密码策略弱、数据未加密保护 | 基线配置 |
| MySQL数据库建议限制非root用户高危命令权限 | 权限管理不严(过度授权) | 高权限 |
| 数据库未禁用账号的高危权限 | 权限管理不严(过度授权) | 高权限 |
| 负载均衡绑定不安全的安全组 | 敏感服务暴露在公网、网络架构配置不当 | 外部暴露面 |
| IAM策略中包含高危权限 | 权限管理不严(过度授权) | 基线配置 |
| CBS应开启定期快照功能 | 备份与容灾机制缺失 | 可用性影响 |
| 数据库位于境外region | 漏洞与基线风险未修复 | 基础设施位置、基线配置 |
| 数据库应该创建非root用户使用 | 密码策略弱 | 不安全的用户凭据、凭证访问、高权限 |
| 负载均衡不应转发高危端口 | 敏感服务暴露在公网、网络架构配置不当 | 外部暴露面、环境探测 |
低风险
| 风险 | 根因 | 标签 |
|---|---|---|
| IAM RolePolicy权限存在横向移动风险 | 权限管理不严(过度授权) | 凭证访问、高权限 |
| COS存储桶应开启防盗链功能 | 漏洞与基线风险未修复 | 数据未受保护 |
| COS存储桶建议开启存储桶复制 | 备份与容灾机制缺失 | 可用性影响 |
| 数据库实例应在不同可用区进行部署 | 备份与容灾机制缺失 | 可用性影响 |
| 云服务器应使用密钥对登录 | 漏洞与基线风险未修复 | 凭证访问 |
| 子账号API密钥数量超过2个 | AccessKey管理不善 | 凭证访问 |
| Redis应该开启自动备份 | 备份与容灾机制缺失 | 可用性影响 |
| COS存储桶应开启日志记录 | 供应商未实现默认安全、日志与监控缺失 | 日志记录不足 |
| COS存储桶应开启服务端加密 | 数据未加密保护 | 数据未受保护 |
| IAM策略使用string_equal语法而非区分大小写 | 漏洞与基线风险未修复 | 修改安全防护措施 |
| 云硬盘应该设置为加密盘 | 数据未加密保护 | 基线配置、数据未受保护 |
常见问题
Q: 怎么使用自动化检查能力?
A:
- 帮助中心:https://lv8u92t29eh.feishu.cn/docx/MHnKdjZKgoZzpsxAsYcc5hAenzg
- 原始规则库链接:https://lv8u92t29eh.feishu.cn/sheets/Ou4VsbDCxhWuWFthih2ckOuTnJg
Q: 怎么参与技术交流?
- 微信客服:anduoduo2025
- 微信公众号:让天下没有难做的安全