随着基础设施日益复杂化,从物理硬件、虚拟化环境、容器技术,到云计算与 DevOps 工具链,攻击面随之显著扩大。传统网络防御边界已被彻底打破,攻击者可以通过硬件漏洞逃逸沙箱、通过容器漏洞横向移动、通过云配置失误获取超级权限。
这一专题将系统性介绍硬件层 → 容器层 → 云平台层的典型漏洞形式、攻击思路、真实案例与防御措施。
| 类型 | 说明 | 危害 |
|---|---|---|
| CPU 侧信道 | Meltdown、Spectre、ZombieLoad | 绕过权限读取缓存数据 |
| 供应链后门 | 芯片固件中植入恶意代码 | 大规模硬件渗透 |
| Debug 接口开放 | UART/JTAG 未封锁 | 可物理访问控制台,提权 |
| BIOS 攻击 | 改写启动代码 | 持久化植入、超隐蔽 |
| 类型 | 场景 | 危害 |
|---|---|---|
| 容器逃逸 | 利用 Docker/K8s misconfig/CVE | 控制宿主机、横向移动 |
| Capabilities 滥用 | 赋予容器过高权限(如 SYS_ADMIN) |
容器本应隔离,但越界控制 |
| 挂载敏感目录 | 容器中挂载 /proc, /var/run/docker.sock |
控制 Docker Daemon |
| 虚拟化逃逸 | QEMU、KVM、VMWare 等漏洞 | 客户越权访问宿主资源(如 CVE-2015-3456) |
| 向量 | 描述 | 危害 |
|---|---|---|
| 云权限过高 | IAM Role 配置不当 | 横向访问、RCE |
| Metadata Server 利用 | SSRF -> 169.254.169.254 |
窃取访问令牌、控制资源 |
| S3/GCS 桶暴露 | 存储桶设为公开 | 泄露源代码、日志、模型等敏感内容 |
| DevOps 漏洞 | GitLab-CI、Jenkins 弱配置 | 植入后门、自动化传播 |
| 云函数攻击 | Serverless 权限配置不当 | 任意函数执行、内网扫描 |
K8s SSRF漏洞
↓
访问 Metadata URL(169.254.169.254)
↓
获取 IAM Role Token
↓
调用 AWS API 获取 S3 权限 / 启动新实例
↓
持久化、横向传播
| 层级 | 防护措施 |
|---|---|
| 硬件 | 禁用调试口 / 启用 BIOS 密码 / Secure Boot |
| 容器 | 限制 capabilities / 网络隔离 / 镜像签名校验 |
| 虚拟化 | 安装补丁 / 定期隔离核查 / 限制 VM 网络暴露 |
| 云平台 | Least privilege 权限管理 / 监控 token 使用行为 |
| CI/CD | 设置 RASP、代码签名、YAML 配置审计 |
| 日志与审计 | 开启云平台全日志(如 AWS CloudTrail) |
现代基础设施漏洞呈现出“层层嵌套、相互影响”的复杂格局。一次配置错误可能引发容器逃逸,再引发云平台权限控制失效,最终导致整个平台的沦陷。
基础设施安全不仅是代码安全,而是底层信任链的重建与持续防御。