红队视角下的公有云基础组件安全（二）？公有云解决方案

前言

我们之前已经发表过一篇文章，从红队的角度讲解了公有云基础组件的安全性，但这篇文章是对上一篇文章的补充，主要关注AWS、Google Cloud、Azure等海外公有云。

本文主要从红队角度讨论基础公有云服务配置问题带来的一些安全风险。

目录

云存储

云计算

云网络

其他

云储存

Azure存储

Azure存储是微软云提供的文件存储功能，有一个重要的概念：存储帐户。

首先，我们需要澄清有关Azure 存储的重要概念。

Azure 存储帐户：Azure 存储帐户包含所有Azure 存储数据对象，包括：

BLOB、文件共享、队列、表、磁盘。存储帐户为Azure 存储数据提供唯一的命名空间，并且可以从世界任何地方通过HTTP 或HTTPS 进行访问。

这样您就知道所有存储服务都位于一个存储帐户下。

根据存储帐户结构，分为容器、文件共享、队列、表和VM部分。

磁盘帐户和存储帐户提供三种身份验证方法：

1.访问密钥（AK）

2. Azure 活动目录(AAD)

3. 共享访问签名（SAS）

当帐户选中“允许存储帐户密钥访问”时，存储帐户将开放给外部访问。

查看身份验证部分，我们看到容器、队列和表使用AAD 和SAS 进行身份验证，文件共享使用AK 和AAD 进行身份验证，AK 对完全继承自存储帐户。

当您使用AK 登录Azure 专用文件浏览器时，您可以检索整个存储帐户，而不仅仅是单个共享文件夹。

使用Azure 时

如果您使用mimikatz捕获具有AK脚本挂载的文件共享帐户的Windows机器的内存密码，您将看到该帐户的明文AK存储在内存中。这也会导致机器出现这个问题。使用AK 挂载文件共享会使您的整个存储帐户面临风险。

由于Azure对文件共享没有细粒度的权限，经过测试发现，如果使用AAD进行身份验证，在使用文件共享时要更加小心，整个过程不需要输入明文密码。如果您的计算机崩溃，您的存储帐户将受到尽可能的保护。

蔚蓝

存储AK 有过期日期，不应设置为永不过期。请注意您的开发安全，并避免使用文件共享AK 将代码上传到互联网。另请注意，该项目的云上公权机采用的是AAD认证。由于本地计算机无法参与AAD，因此我们建议您尽可能避免使用文件共享功能。

亚马逊S3

静态网站导致子域名被接管

AWS S3官方提供了托管静态网站的功能，但也可以使用国内云厂商的存储来托管静态网站，但AWS与AWS不同的是，存在继承名称的可能性。

可以在存储桶的界面属性中启用相应的静态网站功能。

成功打开后，AWS 会为您的存储桶分配一个网站终端节点。

如果之前托管的静态网站Bucket被删除，但自定义域名解析没有及时处理，则访问目标子域名时会提示该Bucket不存在。注册该唯一的存储桶名称。 使用您要接管的子域名的名称注册一个存储桶。

某些政策的泄露

对于一些特殊的访问需求，S3允许您配置桶策略，通过特定的请求头实现定向访问。

以下官网显示该请求带有x-amz-full-control header，授予Bucket拥有者完全控制权限。

还有一些条件键范围来达到访问控制的效果，下图中的IP在范围内，只要IP不是188就可以通过验证访问。

{

\’版本\’: \’2012-10-17\’,

\’Id\’: \’S3PolicyId1\’,

\’声明\’: [

{

\’Sid\’: \’声明1\’,

\’效果\’: \’允许\’,

\’校长\’: \’*\’,

\’操作\’:\’3:GetObject\’,

\’资源\’: \’arn:aws:s3:awsexamplebucket1/*\’,

“状态”:{

\’IP地址\’: {

\’aws:SourceIp\’: \’192.0.2.0/24\’

},

\’NotIp地址\’: {

\’aws:SourceIp\’: \’192.0.2.188/32\’

}

}

}

]

}

通过测试这些可能的策略，您可以通过测试绕过目标的策略限制，前提是目标相对简单。

云计算

云容器

现在一些厂商提供基于云的云实例，例如云容器实例CCI。

云容器使用状况

您可以使用此功能来构建您想要的功能图像。这是一个结合负载均衡和云供应商提供的其他功能构建awvs Web 扫描以满足容器性能要求的示例。

云容器指令泄露

云容器制造商通常会提供一些公共镜像，但如果您自己构建镜像，则需要上传完成的镜像，并且制造商会提供临时和永久的说明。

永久命令登录使用ak作为用户名，密钥是ak和sk的加密密钥，因此必须注意防止该加密密钥泄露。

ECR 公共访问

Amazon Elastic Container Registry (Amazon ECR) 是一个AWS

安全、可扩展且可靠的托管容器映像注册表服务。 Amazon ECR 使用AWS IAM 支持具有基于资源的权限的私有存储库。这样您可以指定用户或

Amazon EC2 实例可以访问容器存储库和映像。使用您最喜欢的CLI 推送、拉取、管理Docker 映像以及打开容器

Itistry (OCI) 图像和符合OCI 的工件。

而且由于官网明确说明ECR支持作为公共容器镜像存储库，因此注册时会出现公共选项，一旦打开就无法关闭，并且不能在任何AWS账户中使用，可以在容器内自由推拉。存储库。

云网络

DNS区域

相比国内厂商，国外厂商在DNS控制方面的自由度要大得多，国内厂商如果不能保证根域名解析到对应的平台就不会解析域名。虽然国家网络安全保护得很好，但国外云厂商并没有指定域名。

服务器验证。您可以在Azure、Google、AWS等海外平台解析不属于您的域名。

以Azure为例，您可以通过以下方式解析他人的域名：

创建DNS 区域。

选择您想要的域名。

添加记录与使用国内DNS相同。

最终效果：

解析平台指定的4个NS节点，ns1-38是force记录，ns1-205是实际的microsoft.cn记录，如图所示。您可以使用此方法。以防恶意在程序内指定一个DNS服务器，并通过指定的服务器查询所需的地址。这有两个特点：

域名被高度欺骗您可以想象态势感知和交通设备会在漆黑多风的夜晚向您发出警报，而警报的目标是[www.microsoft.cn]。

或者，当您开始连接到驻军的主域名时，您的大脑一片空白。

解析的DNS服务器是比较权威的服务器，不是个人的Pheasant服务器。例如，实际的DNS 解析记录位于ns1-205，而我注册的DNS 解析记录位于ns1-38。将权威服务器添加到白名单中并将Microsoft 云IP 或CDN 添加到域名记录中可能会让防御者误判连接并认为它们是由Microsoft 服务发起的。

对于这种类型的攻击方法，如果防御者知道这种类型的连接并且愿意从沙箱中运行它，请务必在虚拟机中运行它以捕获数据包并确定发送DNS 服务器使用哪个DNS 服务器。请检查它是否指向。根域名中的NS 并不指向假DNS 服务器，因此名称比较不会在Internet 上传播解析记录。

服务器检查样本有什么问题。

AWS DNS 区域

谷歌云DNS 区域

Google的DNS服务器在中国无法访问，因此位于中国的服务器不必考虑这种安全风险。

NAT网关

NAT 网关（NAT

Gateway）提供公网NAT网关和私网NAT网关。公网NAT网关为VPC中的云主机提供SNAT和DNAT功能，方便您为VPC创建公网入口和出口。私网NAT网关为VPC内的云主机提供网络地址转换服务，允许多个云主机共享一个私网IP来访问您的本地数据中心或其他VPC，并让云主机能够为您的私网提供服务。

SNAT

某厂商的初衷是利用NAT网关提供网络地址转换服务，通过NAT网关为VPC内的云主机和远程私有网络（如外部数据中心）节省EIP资源。 VPC）也可以互相访问。

从红队的角度来看，可以使用具有弹性公网IP和SNAT策略的云主机，避免将IP直接暴露到公网，而通过公网NAT网关暴露弹性公网IP，从而实现无弹性。在VPC内，拥有公网IP的云主机可以访问公网。

首先，根据您的需求购买网关。

购买完成后，输入您的网关规则设置以配置您的SNAT 规则。

根据需要购买EIP，下方会显示已购买的IP。弹性云服务器同时配置了弹性公网IP服务和NAT网关服务，因此数据通过弹性公网IP进行传输。之前购买的服务器IP没有绑定，所以解绑后发送的IP也可以被网关使用。

完成上述配置后，您的服务器将能够在离开您的网络时自动切换IP 地址。

你会发现，使用这种方法你可以隐藏和切换你的真实IP，同时获得高质量的国内代理。

DNAT

DNAT 能够通过IP 映射或端口映射从外部网络访问VPC 中的机器，以前只能通过解绑并使用机器自己的IP 来实现。在网页上使用远程VNC，登录系统非常不方便。首先用这个方法映射22个端口，方便机器操作。

由于之前已经购买了相关资源，因此您可以直接配置DNAT规则。

根据需要设置规则。此处仅输入22。

成功使用ssh后，您可以将其用于其他目的，例如隐藏CS、配置监听器等。

其他

Azure Active Directory 带来的密码爆破风险

当Microsoft365、Azure 和其他Microsoft 服务的登录凭据在暴力破解过程中相互识别时，Microsoft 的系统会遇到问题。确保您的帐户在公共互联网上的安全。目前已知的非核心密码验证接口包括：

Microsoft 365 门户网站

微软图表

Azure 服务管理

Microsoft 365 移动版

这些现有的接口会带来问题。这意味着攻击者可以暴力破解域外或公共网络上的域用户。安全设备不能，因为实际流量不会发送到云内网或主机。警告你。为了避免这种情况，可以使用以下方法：

为所有用户启用多重MFA 身份验证

使用“读取目录数据”或“读取用户配置文件”权限监视和阻止可疑应用程序。

通过白名单控制登录IP地址

云贝壳

AWS CloudShell 是一个基于浏览器的预身份验证shell，您可以直接从AWS 管理控制台启动。

用于针对AWS 服务运行AWS CLI 命令的shell（Bash、PowerShell 或Z shell）。无需下载或安装任何命令行工具即可完成此操作。

您可以在控件左上角输入CloudShell，点击进入，您的IP将根据地区随机分配。

该shell默认提供bash、powershell、zsh以及AWS相关的cli，开发环境提供node.js和python。

默认用户权限较低，但官方给予当前用户sudo安装软件的权限。

您将看到您的用户位于sudo 组中，并且您将能够执行各种操作。

以下是可用于执行多项操作的shell 配置资源：

在云原生时代，基础设施通常是通过模板生成的。错误的IaC（基础设施即代码）模板可能会生成数百个有风险的资源，并最终转化为数千个操作警报。墨安科技的DevSecOPS模块的IaC安全扫描功能可以在代码构建阶段自动识别IaC代码，识别并修复错误代码，并在与基础设施漏洞相关的风险问题发生之前识别并解决。基础设施安全左移显着减少了安全人员的工作量，节省了运营和维护成本。

尚服CNPP的IaC安全扫描功能支持Kubernetes清单文件、Rancher和Docker

文件、Terraform 和其他格式的安全检查。

此外，近期发布的3.0版本正式推出摩安科技巡检智能资产风险监控系统，并引入云安全态势管理（CSPM）。

管理功能帮助用户集中管理多云资源，实现云资产可视化，及时发现云资源配置风险。通过云合规基线检查，用户可以轻松解决云合规问题，同时也支持私有化。 SaaS 交付。

学习资料分享

当然，只给出方案而不给出学习资料，无异于耍流氓。 ### 如果您有兴趣开始网络安全，请单击此处。 CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享。

如果您对网络安全感兴趣，我们的学习资源免费共享，并保证完全免费。 （Heyke入门教程）

全套网络安全（Heyke）学习视频

通过看视频学习的时候，理解并运用它们，而不是仅仅动动眼睛、动动脑子，才是更科学的学习方法。

网安（嘿客红蓝对抗）所有方向的学习路线****

对于刚接触网络安全的学生，我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

学习资料工具包

盒子底部的丰富资源全面深入地介绍了基础网络安全理论，包括逆向工程、八层网络防御、汇编语言、白帽网络安全、密码学、网络安全协议等。它被集成到.基础理论与主流工具的应用实践。帮助读者了解各种主流工具背后的实现机制。

面试问题信息

我们的专用频道收集了京东、360、天融信等公司的试题。大工厂的入口就在拐角处！

嘿客必备开发工具

工欲善其事，必先利其器。学习黑客常用的开发软件都在这里了，节省了大家很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你对网络安全入门感兴趣，那么你点击这里CSDN大礼包：《黑客网络安全入门进阶学习资源包》免费分享

以上#红队视角下的公有云基础组件的安全性相关内容来源网（二）仅供参考。相关信息请参见官方公告。