云计算--轻度杂谈（一）

这个之后大概率会做成一个系列，记录一下生活中学到的点点滴滴，有些轻度涉及的领域，聊聊看法，拓展一下思路。

之后还会有一个博客或者一体带读？之类的内容，目的是提升自己的英文能力和技术功底。（之前的坑也会补一下。）

以上是无关的关于未来规划的闲话，接下来是本篇杂谈。

---------------------------------------------------

稍微聊聊实际体验了一下之后，自己对于虚拟化网络与云计算技术的个人看法。

先聊虚拟化，注意不是虚拟化网络。

在我看来这两样东西还是有很大区别的。

虚拟化就如我们常见的docker、k8s与vmware等（注意，虽然这里我将它们都放入了虚拟化的归类，但是他们还是有功能上的本质区别的。），它们的目的是将计算机底层运行逻辑模糊化，简化用户进行操作系统与应用搭建的复杂度，并且一定程度上做到资源合理调度，降低应用的运行波动风险，并且使用容器化的方式对系统进行进一步的保护。

这也就是我们个人最常接触的虚拟化。

虚拟化网络HCI,就像是一个放大版的docker，它将多物理机资源进行整合，能够进行虚拟化创建与资源调度，能够进行粗略的分区与应用监控，但是它没有k8s的自动重启与监控功能，并且其重启更加类似于k8s与docker的那种业务重启机制，需要预制重启脚本进行重启，依赖人工管理，并且需要单独编写脚本，增大体量的同时，重启效率较低，同时由于集群较大，隔离并不是很优质，hci的安全风险是没有相对降低的。

这些就是我们接下来要说到的云计算的优点，云计算就像是hci+k8s+waf，它同样对计算机资源进行了整合，但是其能够对资源进行切割分段，也就是“分出”多个hci来，给予多租户隔断，方便资源管理与出售。

当系统出现异常情况时，云计算平台可以监控到异常并通过类似于vmware的冻结的方式，直接在新资源中对原本的应用进行启动，无需重启业务，可以直接需用降低了重制时间。

并且容灾策略也让云计算能够有更优质的鲁棒性。

同时内置edr，自带waf的防御环境也要优于hci的部署式防御，防御保护面会更大一些，业务监控的标准化也是其优势。

当然，篮子放在一个鸡蛋里总会有风险，但是我认为一个安全的篮子比散开放的鸡蛋更有可信度一些。

如果要说云计算的缺点的话，那就是规模问题，如果没有成规模的情况的话，很难组成云计算机房，成本较高，而且维护成本同样不低，只不过从雇人维护变成了买专家维护，自由度也受限制。

从这几天的实际体验来说，云计算的安全问题也较为复杂，首先是基础架构上的安全问题（我还没详细研究，只是主观体验，肯定是和实际有偏差的，理解想表达的意思就好了，如果是谬误欢迎提出或我之后发现的话自己会修改。），基础架构的稳定性依赖隔离与管理，如果管理系统出现了漏洞，或隔离不充分，都会导致全部业务崩盘的情况。

其次，云计算的部署业务可控性较低，在业务量持续增大之后，如何能够快速发现与阻断攻击将会是一个令人头疼的问题，即使不出现容器逃逸情况，也很容易整片业务沦陷。

从攻击角度来说，实际突破口的寻觅方式并没有太大的区别，我们的目标将会放到依赖突破口进入容器后如何判断当前系统所处的环境，进行容器逃逸，在逃逸后如何去寻找攻击目标。

从这个角度来说实际的直接攻击的成本增加了较多，以后攻击在云方向的收益会较低，我们将会将越来越多的精力放在针对人员的角度。

从接触的业务来说，如果能够投毒镜像进行APT攻击将会是对云计算最大的威胁，如何制作和检测镜像文件也将会是后期可以作为我们进行研究的一个方向。

总的来说还是感谢这次入职的，毕竟本身如果不进入公司，学生很难对该类问题进行接触与研究，大规模业务的实现与探索也是纸上谈兵罢。

 

从安全监控的角度来说，云计算对于业务的标准化要求会更高，非标准版的业务在云环境对于防御设备的碰撞的信息将会被放大，我们需要业务更加标准来增加安全性能，当业务的标准化推进后，AI的训练内容将会有更优质的数据，同时当业务出现数据流偏差时，可以进行更快更精准的告警。

 

在我们的实际工作中，进行脆弱点的检测更多是放在了对于平台的漏洞检测，中心平台的接口检测等等问题上。

由于普通用户与admin的接口有众多的交集，对于平台的检测我们会非常重视权限控制相关的问题，同时工作的重心也在该类问题的排查上，由于在云计算环境下，其实基础漏洞的检出难度较高，黑/白盒检测也不会很多的将精力放在像sql注入与xss等“基础漏洞”方面，会比较重视业务逻辑与数据流处理。

针对云计算攻击的研究下一步大体上会走向两个方向，走向平台侧，通过攻击核心平台达到一杆到底的效果；走向容器侧，因为目前针对容器其实除了逃逸也没什么非常好用与常用的攻击手段，如何拓展容器攻击面也是之后的思考重心之一。

这两个方向都有较高的防御能力与防御部署，将其作为重心课题对于我们的技术能力要求会相当的高，不过也是比较有趣的议题就是了。

其实，一开始还想聊聊技术面与针对性需要的能力，但是想了想，如果有想法走向这两个方面的兄弟们，可能我这样的“门外汉”的话，更多是不听为妙，哈哈。

本篇纯杂谈，之后会陆续更新更“技术”一些的文章，不是画饼，已经写了大半样例了，一篇和弱加密算法有关，一篇与Codeql代码审计有关，算得上是也比较实际的内容罢。