云計算因低成本、高配置以及安全等配套服務的連帶附加等突出優勢，成為越來越多企業數字化轉型升級的首要選擇。IDC最新預測數據顯示，全球公有云收入到2021年將達到2783億元，較之2017年同比增長87.36%。隨著越來越多的企業選擇上云，云上安全也成為云服務商和租戶共同關注的話題。

近日，騰訊安全云鼎實驗室基于對云安全情報數據的統計分析和最新云安全攻防趨勢的研究，亞洲服務器租用，聯合GeekPwn發布了《2019云安全威脅報告》（以下簡稱《報告》），在整體把握云安全威脅形勢的基礎上，對基礎設施、數據、身份驗證和訪問管理、云中安全管理、微服務及Serverless以及跨云等云上安全威脅形勢進行了梳理，并提出云服務廠商和使用方的責任共擔已成為新威脅形勢下的應對標配。

云上攻擊路徑全景首次公開，云資源攻擊占比近50%

云技術表現出的服務成本低、便捷性高、擴展性好等特點，在為用戶提供更多層次服務的同時，也給云平臺帶來了更多可利用的攻擊面。騰訊安全的情報數據顯示，云資源作為攻擊源的比例已占國內所有攻擊源的45.55%。

（安全攻擊來源占比統計）

《報告》首次對外披露了云鼎實驗室基于真實云上攻防的研究，詳細詮釋了八條縱向和八條橫向的云攻擊路徑。總體而言，攻擊者既能在無任何授權的情況下自云外縱向進入云平臺展開攻擊，也能在進入云平臺后通過橫向遷移獲取更多租戶資源和數據。也是說，與傳統攻擊路徑相比，美國服務器租用，云資源攻擊表現出更為多元、復雜和脆弱的特性。

（攻擊方式模型全景圖）

伴隨著云服務提供向底層資源共享方式不斷延展的趨勢加劇，云服務提供商和使用者對不同層次安全問題采取共同負擔或分而治之的策略，是實現云上安全防護最佳實踐的重要趨勢。同時，對于構筑完善安全保障體系而來勢在必行。

（安全責任共擔模型）

2/3 DDoS攻擊指向云平臺,基礎設施安全形勢嚴峻

針對網絡、主機和應用等基礎設施的安全攻擊由來已久。騰訊安全情報數據顯示，約2/3的網絡DDoS攻擊事件都以云平臺IP作為攻擊目標，超99.6%的攻擊流量皆小于200G，攻擊趨勢呈現出行業分布廣泛、超大流量攻擊次數增加、整體攻擊次數減少、低成本高度集成管理的特點，給云服務上帶來了更高級別的網絡風險。

（攻擊目標分布）

而在主機安全方面，由軟硬件虛擬化帶來的是傳統安全與虛擬化安全威脅的糅合。其中，漏洞利用和惡意文件仍是傳統主機安全面臨的重要挑戰。抽樣數據顯示，云中70%以上漏洞均為基線漏洞，且中風險漏洞超60%。此外，2019年云平臺惡意文件數量月均增長17.5萬/個，DDoS和代理類型的樣本數量有所增加，側面反映云平臺主機資源濫用威脅不斷加劇。除此之外，當下云平臺還面臨著包含存儲、網絡、管理等在內的虛擬化安全威脅。任何基于虛擬化技術的攻擊都有可能對整個云上用戶造成災難性影響。

（云上漏洞類別占比圖）

應用程序或軟件作為云上企業開展業務直接使用的對象，其安全性直接關乎業務安全。騰訊云安全統計數據顯示，SMB相關漏洞是黑產對應用發起攻擊的首選手段，Web類攻擊次之。除常規應用漏洞外，用于客戶管理云服務和交互的API（應用程序編程接口）和UI（用戶接口）如若設計不當，也將導致濫用甚至數據泄露。隨著SaaS和PaaS應用的增加，云服務提供商成為應用安全防護的主力。

數據安全面臨挑戰，身份驗證和訪問管理成數據安全關鍵

《報告》指出，包括數據泄露、數據丟失以及隱私數據利用和泄露等在內的數據安全威脅已成為當前上云企業面必須直面的挑戰。據Risk Based Security統計，2019年上半年世界范圍內已經發生了3813起數據泄露事件，被公開數據高達41億條。騰訊安全情報數據顯示，“數據”、“身份證”、“密碼”等關于數據泄露的詞匯在暗網的熱詞分析中占比極大。與此同時，因技術受限存在數據丟失風險和對個人隱私數據合規保護的法規出臺，拓展著數據泄露帶來的損失面和負面效益。