云服务的崛起，使得更多的恶意攻击转向云端。现在云服务的攻击，大部分来至IaaS、PaaS、SaaS三个层面。

IaaS层面

分布式拒绝服务攻击(DDoS)。 迄今为止DDoS攻击仍然是最有效的攻击手段，且随着DDoS技术进步，这种攻击成本越来越低，并且在将来很长一段 时间内仍然无法根治。这种攻击隐蔽且非常有效，UCloud在今年5月就遭受到63G的大流量攻击。这对IaaS厂商来说是致命的，长时间的业务中断，任 何客户都承受不起。利用NTP的反射型DDoS可以说是DDoS中的核武器、杀手锏，可将攻击流量放大至200倍，如四两拨千斤般，几乎可以打瘫任何厂商 的带宽出口，国外CDN厂商CloudFlare今年年初就遭受到400G的反射型流量攻击。

Web攻击。为了提升交互体验，云服务商都会提供一个Web方式的管理控制台，若控制台自身存在漏洞，一定会造成危害。这种漏洞主要来自两方 面。一方 面是程序代码对输入信息校验不完整或程序逻辑有误造成的漏洞。例如，某云计算巨头厂商基于开源软件ElasticSearch开发的搜索工具存在远程执行 的漏洞，可以执行任意命令和写文件操作。另一方面是部署或使用第三方工具不当造成的漏洞。例如，某云服务商使用OpenSSL不当造成用户信息泄露，进而 使黑客能够以该用户身份登录并获取服务器敏感信息。

虚拟机资源滥用。当前云计算业务正处于发展期，一些传统用户还处于是否向云计算迁移的纠结中。因此，很多云厂商提供了免费的虚拟机试用服务，黑 客正利 用了这一机会并结合其他手段，如批量注册免费邮箱等，来大量申请免费云计算资源构筑强大的云攻击环境，并且形成一种商业服务AaaS(Attacks- as-a-Service)，任何人只要购买该服务即可对任意目标发动DDoS攻击。

PaaS层面

底层IaaS遇到的问题在PaaS层面依然存在。由于PaaS平台可以托管应用并在其平台上完成开发工作，如果权限管理不正确的话会导致用户的App 被篡改乃至被恶意删除。今年5月，新浪SAE就被发现存在用户越权操作、可删除任意用户的代码仓库的漏洞。另外，PaaS平台提供的数据库服务，如果数据 库配置不当也会产生很多安全隐患，有些数据库甚至缺少强健的身份认证能力，如Redis。如果PaaS厂商对访问请求没有限制的话，黑客可以通过暴力破解 方式获取数据库密码，从而导致数据泄露。

今年6月，国外代码托管服务商Code Spaces(构筑在亚马逊AWS EC2下的PaaS平台)由于被黑客恶意删除了全部数据导致被迫关闭。从中我们看到由于PaaS平台是构筑在IaaS基础之上的，用户不能触及真正的物理 服务器，所以管理服务器的 操作只能通过IaaS提供的控制面板、管理控制台等Web界面来完成，一旦口令被破解，真实用户只能眼睁睁看着黑客操控自己的机器。所以我建议IaaS除 了提供必要的基础安全措施外，还可以进一步考虑提供一些额外的安全机制，比如多因素身份认证等增值服务，给用户更多选择。

SaaS层面

SaaS的业务形态主要是以Web方式进行输出，所以面临的主要安全风险都集中在SQL注入、跨站脚本(XSS)、API交互缺乏签名验证导致仿冒盗用乃至数据泄露等方面。