云上安全小白学习笔记(持续更新)

近几年,云的概念还是比较热门的,笔者出于各种原因(主要是要写毕设)也学习了一下关于云和云安全的一些知识

在这里记录一下自己的学习路线供其他同样想学习云安全的同学参考(虽然不一定正确高效,欢迎指正)

概念认识(凑篇幅的废话,可以跳过)

云是干什么的?为什么要有云?

想要理解什么是云,就要从实际需求出发,去理解为什么要有云。

用比较通俗的话来说,我们现在想找一个能住的地方,我当然可以从搬砖开始自己盖一间屋子,但是这样未免有些太麻烦了,而且也无法保证屋子的质量。

于是我们考虑:能不能买一间或租一间屋子?

把这样的场景搬到互联网情形下,也就产生了对于云的需求

相信大家应该都在腾讯云阿里云之类的地方买过云服务器,云服务器属于云服务模型中的IaaS(Infrastrcture as a Service,基础架构即服务),购买云服务器相当于买/租了一间毛坯房,房间内的装修布置等等还需要自己动手来做。

不同的客户有不同的需求,也会有客户想买到已经装修好的、有全套家具、水电煤气都已经接通的领包入住屋。于是云厂商根据提供的服务中需要用户管理的部分多少,划分出了IaaS、CaaS、PaaS、SaaS 等等不同的云服务。

k8s

k8s,即kubernetes,因为k与s之间有八个字母,所以简称为k8s(与i18n同理)。

什么是k8s?

以下内容由chatgpt生成:
K8s 是 Kubernetes 的缩写,是一个用于自动化容器化应用程序部署、扩展和操作的开源平台。Kubernetes 最初由 Google 开发,并于2014 年发布为开源项目,现在由云原生计算基金会(Cloud Native Computing Foundation,CNCF)进行维护。

Kubernetes 提供了一个可扩展的、可移植的平台,用于管理容器化应用程序和服务。它支持多云环境,并能够自动处理容器的部署、扩展、收缩、负载均衡、自愈、滚动更新等操作,从而使开发者和运维团队能够更轻松地管理大规模的容器化应用。

说人话:k8s是管理集群的工具

学习路线

这一部分是我自己的学习路线,主要是一些资料的汇总和一些个人认为比较重要的知识点总结

理论

我最早入门时看的学习资料是《从零开始的Kubernetes攻防》
https://github.com/neargle/my-re0-k8s-security

正如其名,从零开始,从云安全的背景到框架知识再到具体问题都有涉及,很适合用作入门时建立对云安全的基本认知

后面也还看到一个不错的大佬博客:
https://www.ek1ng.com/cloudsecurity.html
其中有相当多的学习资料

然后推荐一下经典云上渗透之wiz打穿阿里云
https://www.wiz.io/blog/brokensesame-accidental-write-permissions-to-private-registry-allowed-potential-r#analyticdb-for-postgresql

实践

可以使用minikube单机搭建集群环境
https://github.com/kubernetes/minikube

经典K8s Goat,☁️版DVWA
https://madhuakula.com/kubernetes-goat/

常见问题

什么是AK/SK?怎么利用?

AK/SK,即Access Key/Secret Key,可以大致理解为云主机的账号/密码

至于拿到AK/SK后怎么利用,以AWS为例,github上可以找到现成的利用工具
https://github.com/Aabyss-Team/awsKeyTools

几家大云厂商都可以找到利用工具

当然,你也可以出于闲/学习目的使用手工打法,参考:
https://www.freebuf.com/articles/web/255717.html

更多问题待补充中······