文章总结： 本文从安全视角扫盲云服务架构，详解IaaS等交付模式的责任共担。重点剖析计算、存储及IAM等核心组件的攻防要点，如S3配置错误、EC2元数据SSRF及IAM权限滥用。文章指出云安全是以身份为核心的全新操作系统，建议掌握IAM及元数据攻击技能，以应对资产形态与攻击面的变化。 综合评分： 86 文章分类： 云安全,渗透测试,安全建设

【云安全专题-1】安全视角下的云服务架构扫盲

原创

Ca1m

FunnyHacking

2026年1月8日 17:33 上海

前言

随着企业数字化转型的加速，“上云”已成定局。对于安全从业者而言，战场在哪，防御工事就要修到哪。但面对云厂商控制台上成百上千的产品图标，很多人容易陷入迷茫：这些到底都是干什么的？哪里有漏洞？

想要攻破或守住一座城，首先得看懂地图。

作为本专题的开篇，我们不谈晦涩的底层原理，而是通过安全人员熟悉的视角，把云服务的核心概念做一次全景式扫描。我们将从基础设施、计算网络、到云原生应用，逐一拆解这些服务背后的安全含义。

01 基础认知：云的三种“交付模式” (IaaS/PaaS/SaaS)

在介绍具体组件前，必须先搞懂云服务的三种交付模式，因为这直接决定了**“锅由谁来背”**（责任共担模型）。

• • IaaS (Infrastructure as a Service，基础设施即服务)

• • 通俗理解： 云厂商租给你“毛坯房”（虚拟机、网络、存储），装修（装系统、配环境）和家具（跑代码）都归你管。

• • 典型代表： AWS EC2、阿里云 ECS。

• • 安全责任： 你需要负责操作系统补丁、防火墙配置等。这是传统主机安全和网络安全的主战场。

• • PaaS (Platform as a Service，平台即服务)

• • 通俗理解： 云厂商租给你“精装房”，水电煤（数据库、中间件环境）都通好了，你直接拎包入住（部署代码）即可。

• • 典型代表： AWS RDS、Google App Engine。

• • 安全责任： 底层系统云厂商管，你主要负责代码安全和数据访问权限。

• • SaaS (Software as a Service，软件即服务)

• • 通俗理解： 住酒店。你什么都不用管，享受服务就行。

• • 典型代表： Office 365、Salesforce、企业邮箱。

• • 安全责任： 重点在于账号安全和数据防泄露。

02 核心组件：云上攻防的“必争之地”

为了统一标准，以下概念均对标 AWS 术语，但逻辑通用于所有主流云厂商。

1. 计算层 (Compute)

• • EC2 (Elastic Compute Cloud) – 虚拟机

• • 简介： 云上的服务器。

• • 安全视角： 除了传统的 Web 漏洞和提权，云主机最大的风险在于元数据服务 (IMDS) 滥用。攻击者通过 SSRF 访问 169.254.169.254 获取临时凭证，是云上横向移动的经典手法。

• • Lambda / Function Compute – 无服务器 (Serverless)

• • 简介： 你只需上传代码（函数），云厂商负责运行，按运行毫秒计费。没有服务器的概念。

• • 安全视角： 这里的攻防更隐蔽。由于环境是临时的，传统的持久化后门难以生存。攻击重点转向代码层注入、依赖库投毒以及利用高权限的角色 (Role) 攻击其他云资源。

• • EKS / GKE – 容器服务 (Kubernetes)

• • 简介： 云上的 K8s 托管服务。

• • 安全视角： 容器逃逸、API Server 未授权访问、镜像漏洞。云上的 K8s 往往与 IAM 深度绑定，Pod 的权限过大常导致整个集群被接管。

2. 存储层 (Storage)

• • S3 (Simple Storage Service) – 对象存储

• • 简介： 云上的无限容量网盘，通过 API 存取文件。

• • 安全视角： Bucket 配置错误是历年数据泄露的“榜一大哥”。从早期的公共读写权限，到现在的子域名接管风险，S3 永远是渗透测试的第一检查点。

• • EBS (Elastic Block Store) – 块存储

• • 简介： 也就是云硬盘，挂载在 EC2 上的。

• • 安全视角： 关注快照 (Snapshot) 泄露。如果有人把包含敏感数据的硬盘快照设为公开，任何人都能把它挂载到自己的机器上读取数据。

3. 数据库层 (Database)

• • RDS (Relational Database Service) – 关系型数据库

• • 简介： 托管的 MySQL、PostgreSQL 等。

• • 安全视角： 重点关注公网暴露和白名单缺失。云上的数据库往往自带公网 IP 选项，一不小心就会对全网开放 3306 端口。

4. 网络层 (Networking) —— 隐形的边界

• • VPC (Virtual Private Cloud) – 专有网络

• • 简介： 你在云上圈出来的一块“内网”，逻辑隔离。

• • 安全视角： 这是云上的网络边界。攻击者能否从一台跳板机摸到核心数据库，全看 VPC 的子网划分和路由表配置。

• • Security Group (SG) – 安全组

• • 简介： 这是重点！ 它是作用于网卡级别的虚拟防火墙。

• • 安全视角： 安全组策略也是最重要的资产排查点。例如 0.0.0.0/0 允许 SSH (22) 或 RDP (3389) 访问，等同于在裸奔。

5. 身份与审计 (Management & Governance) —— 云的灵魂

• • IAM (Identity and Access Management)

• • 简介： 身份与权限管理系统。它是云控制台的“门禁”和“人事部”，管理用户 (User)、角色 (Role) 和策略 (Policy)。

• • 安全视角： IAM 是云安全的基石，也是云攻防的核心。 传统的边界是防火墙，云的边界是身份。AK/SK (Access Key) 泄露、权限过大 (Over-privileged)、提权漏洞，90% 的严重入侵都与 IAM 有关。

• • CloudTrail / ActionTrail – 审计日志

• • 简介： 云上的“黑匣子”。它记录了谁（Who）、在什么时候（When）、对什么资源（What）、做了什么操作。

• • 安全视角： 攻击者入侵后的第一件事往往是试图关闭或删除 CloudTrail 日志以抹除痕迹。而防御方则通过它配合 CloudWatch 进行实时报警。

03 为什么传统安全人员要转型学云安全？

理解了上述概念，你会发现安全逻辑发生了本质变化：

1. 1. 资产形态变了： 以前是物理服务器，现在是“代码即基础设施 (IaC)”。一段 Terraform 代码能建起整个数据中心，也能因为一行配置错误瞬间摧毁它。
2. 2. 攻击面扩大了： 以前攻击数据库要穿透三层防火墙；现在只要捡到一个泄露的 AK/SK 密钥，就能直接调用 API 拖库，甚至绕过所有的网络限制。
3. 3. 权限复杂了： IAM 策略的复杂性远超 Linux 的 755 权限，稍微配置不当（例如允许 iam:PutUserPolicy），普通用户就能给自己提升为管理员。

结语

云服务不仅仅是物理机的迁移，它是一套全新的操作系统。

S3 是硬盘，EC2 是 CPU，VPC 是网线，而 IAM 是内核权限。理解了这套映射关系，我们就拿到了通往云安全世界的地图。

后续章节，我们将深入每一个组件，从 IAM 权限枚举、S3 桶爆破到 EC2 元数据攻击，手把手带你挖掘云上的安全漏洞。

下一章预告：云身份的阿喀琉斯之踵——IAM 与 AK/SK 密钥泄露攻防实战。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FunnyHacking Ca1m《【云安全专题-1】安全视角下的云服务架构扫盲》