2014年中國云計算產(chǎn)業(yè)繼續(xù)保持2013年的發(fā)展態(tài)勢,并逐漸與游戲、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等產(chǎn)業(yè)相結(jié)合產(chǎn)生放大效應(yīng)。凡事皆有利弊,隨著規(guī)模擴(kuò)大 及目標(biāo)價值增長,許多黑客開始關(guān)注這一新興領(lǐng)域的“潛在價值”。不知不覺中,暗流涌動,“安全之戰(zhàn)”響徹“云”霄。下面分別從IaaS、PaaS、SaaS三種服務(wù)模式談一談云計算領(lǐng)域的攻防趨勢。
IaaS層面
我們可以看到IssS層面主要有三種攻擊方式。
分布式拒絕服務(wù)攻擊(DDoS)。迄今為止DDoS攻擊仍然是最有效的攻擊手段,且隨著DDoS技術(shù)進(jìn)步,這種攻擊成本越來越低,并且在將來很長一段 時間內(nèi)仍然無法根治。這種攻擊隱蔽且非常有效,UCloud在今年5月就遭受到63G的大流量攻擊。這對IaaS廠商來說是致命的,長時間的業(yè)務(wù)中斷,任 何客戶都承受不起。利用NTP的反射型DDoS可以說是DDoS中的核武器、殺手锏,可將攻擊流量放大至200倍,如四兩撥千斤般,幾乎可以打癱任何廠商 的帶寬出口,國外CDN廠商CloudFlare今年年初就遭受到400G的反射型流量攻擊。
Web攻擊。為了提升交互體驗,云服務(wù)商都會提供一個Web方式的管理控制臺,若控制臺自身存在漏洞,一定會造成危害。這種漏洞主要來自兩方面。一方 面是程序代碼對輸入信息校驗不完整或程序邏輯有誤造成的漏洞。例如,某云計算巨頭廠商基于開源軟件ElasticSearch開發(fā)的搜索工具存在遠(yuǎn)程執(zhí)行 的漏洞,可以執(zhí)行任意命令和寫文件操作。另一方面是部署或使用第三方工具不當(dāng)造成的漏洞。例如,某云服務(wù)商使用OpenSSL不當(dāng)造成用戶信息泄露,進(jìn)而 使黑客能夠以該用戶身份登錄并獲取服務(wù)器敏感信息。
虛擬機(jī)資源濫用。當(dāng)前云計算業(yè)務(wù)正處于發(fā)展期,一些傳統(tǒng)用戶還處于是否向云計算遷移的糾結(jié)中。因此,很多云廠商提供了免費的虛擬機(jī)試用服務(wù),黑客正利 用了這一機(jī)會并結(jié)合其他手段,如批量注冊免費郵箱等,來大量申請免費云計算資源構(gòu)筑強(qiáng)大的云攻擊環(huán)境,并且形成一種商業(yè)服務(wù)AaaS(Attacks- as-a-Service),任何人只要購買該服務(wù)即可對任意目標(biāo)發(fā)動DDoS攻擊。
PaaS層面
底層IaaS遇到的問題在PaaS層面依然存在。由于PaaS平臺可以托管應(yīng)用并在其平臺上完成開發(fā)工作,如果權(quán)限管理不正確的話會導(dǎo)致用戶的App 被篡改乃至被惡意刪除。今年5月,新浪SAE就被發(fā)現(xiàn)存在用戶越權(quán)操作、可刪除任意用戶的代碼倉庫的漏洞。另外,PaaS平臺提供的數(shù)據(jù)庫服務(wù),如果數(shù)據(jù) 庫配置不當(dāng)也會產(chǎn)生很多安全隱患,有些數(shù)據(jù)庫甚至缺少強(qiáng)健的身份認(rèn)證能力,如Redis。如果PaaS廠商對訪問請求沒有限制的話,黑客可以通過暴力破解 方式獲取數(shù)據(jù)庫密碼,從而導(dǎo)致數(shù)據(jù)泄露。
今年6月,國外代碼托管服務(wù)商Code Spaces(構(gòu)筑在亞馬遜AWS EC2下的PaaS平臺)由于被黑客惡意刪除了全部數(shù)據(jù)導(dǎo)致被迫關(guān)閉。從中我們看到由于PaaS平臺是構(gòu)筑在IaaS基礎(chǔ)之上的,用戶不能觸及真正的物理服務(wù)器,所以管理服務(wù)器的 操作只能通過IaaS提供的控制面板、管理控制臺等Web界面來完成,一旦口令被破解,真實用戶只能眼睜睜看著黑客操控自己的機(jī)器。所以我建議IaaS除 了提供必要的基礎(chǔ)安全措施外,還可以進(jìn)一步考慮提供一些額外的安全機(jī)制,比如多因素身份認(rèn)證等增值服務(wù),給用戶更多選擇。
SaaS層面
SaaS的業(yè)務(wù)形態(tài)主要是以Web方式進(jìn)行輸出,所以面臨的主要安全風(fēng)險都集中在SQL注入、跨站腳本(XSS)、API交互缺乏簽名驗證導(dǎo)致仿冒盜用乃至數(shù)據(jù)泄露等方面。
迄今為止,凡是已公開運營的云服務(wù),無論規(guī)模大小,幾乎無一幸免,都或多或少被曝出現(xiàn)過上述漏洞。
云計算安全防范之我所見
安全防御,是一個系統(tǒng)工程,它不僅僅涉及技術(shù),也包括管理手段。特別是在云計算環(huán)境中,商業(yè)模式、部署方式以及技術(shù)架構(gòu)都發(fā)生了重大變化,導(dǎo)致所面臨 的風(fēng)險也發(fā)生了巨大變化。如果管理手段跟不上,就可能造成重大事故。例如,我們一臺開發(fā)使用的測試服務(wù)器部署在某個云上,但某天突然無法訪問,管理員登錄 管理控制臺后大吃一驚,服務(wù)器居然已經(jīng)被云服務(wù)商銷毀。云服務(wù)商回復(fù)稱這是他們內(nèi)部的人為失誤造成的,但由于是物理刪除,所以無法恢復(fù)。通過這個事件可以 看到,如果沒有一個完善的管理流程,就算擁有強(qiáng)大的技術(shù)也無能為力。因此,清晰地劃分職責(zé)與權(quán)限至關(guān)重要,否則一個點被黑客突破就可能造成權(quán)限濫用,進(jìn)而 給客戶造成巨大的損失。
在技術(shù)對抗方面,我們認(rèn)為:師“云”長技以制“云”。云計算的精髓是提升效率與降低成本,而傳統(tǒng)安全設(shè)備卻與此背道而馳,例如:傳統(tǒng)的應(yīng)用防火墻 (WAF)單臺設(shè)備的吞吐量與處理能力有限,給云計算服務(wù)造成瓶頸。在技術(shù)選型時,用戶應(yīng)更多考慮那些能與云有機(jī)結(jié)合的技術(shù)產(chǎn)品或方案。
結(jié)合云計算業(yè)務(wù)特點與技術(shù)架構(gòu),云計算服務(wù)商應(yīng)結(jié)合自己的業(yè)務(wù)特點,重點圍繞以下三大方面進(jìn)行防御:應(yīng)用與API安全、數(shù)據(jù)安全與協(xié)作、防火墻(物理 防火墻與虛擬防火墻)。在加固平臺安全機(jī)制的同時,也要指導(dǎo)或幫助用戶做好安全服務(wù),如此雙管齊下才能提升安全性。當(dāng)然,術(shù)業(yè)有專攻,云計算服務(wù)商并不是 安全專家,自身可能也無法應(yīng)對眾多復(fù)雜的安全性問題,在這方面還應(yīng)加強(qiáng)與專業(yè)安全廠商的深度合作。
隨著黑客在云上開辟出第二戰(zhàn)場,“云安全之戰(zhàn)”已無法避免,這也刺激了云安全服務(wù)產(chǎn)業(yè)的發(fā)展,只有越來越多的云安全服務(wù)商出現(xiàn)才能促進(jìn)云安全產(chǎn)業(yè)的技術(shù)創(chuàng)新與發(fā)展,相信這支新軍將成為云安全的主力軍。