云安全三大隐患
“失望、准备迁移、赔钱”,这是用户在云服务中断后的普遍反应。梳理近 1 年以来发生的云安全事故,我们发现:
- 去年 11 月,今年 3 月微软 Azure 出现过云故障。
- 苹果在3月和7月都出现过问题,3 月的瘫痪更是超过 11 个小时,App Store、Apple Music、Apple Radio、Apple TV 等,甚至是 OS X 软件更新都受到了影响。
- 黑色 5 月里,网易、支付宝、携程都连续出现问题。其中支付宝出现的问题和今年 7 月纽交所技术故障导致的交易暂停都是设计金融领域比较严重的事故。支付宝解释自己故障的原因是运营商的光纤被挖断导致。
- 6 月阿里云香港机房瘫痪 12 个小时。
- 今年 3 月腾讯云也曾出现用户无法访问,回应是上海机房出现问题。
- 7月就在云服务厂商青云第一届用户大会进行的同时,青云的云服务出现了中断。
每一个事故都有自己独特的原因,那么如何系统地看待云事故,笔者请教了百度云安全部技术主席王宇。
王宇认为,涉及之前出现的云事故大体可以分为三类:
「首先是硬件故障。云环境下硬件故障是十分常见的情况,在设计支撑云服务的底层基础设施之初就应该充分考虑。 如何避免单点,如何实现热备及自动故障恢复甚至「带伤运转」是每个云服务商在事前就必须考虑的问题,传统意义上简单的灾备并不能满足云服务的高可靠要求。
除了青云的此次事故,5 月网易出现的部分服务无法访问,业界也有观点认为是其网络设备板卡出现问题,这都属于硬件方面的准备和考虑不足所致。」
「其次人为误操作。对于云环境下的业务来说,单次误操作的影响力无疑被很大程度的放大了。虽然每个云服务商都应该有 SOP(Standard Operation Procedure,即标准作业程序,就是将某一事件的标准操作步骤和要求以统一的格式描述出来,用来指导和规范日常的工作)和 BCP(业务持续性计划、Business Continuity Plan),但在实际的制定和执行过程中经常会出现考虑不周或者执行不到位的情况。 云服务提供商需要通过对外不断的学习评估业内之前出现过的案例,以及其处理方式的妥善与否来改进完善自己的 SOP 和 BCP,对内结合自己的业务场景不断进行演练改进,提升其执行力度和熟练程度。
简单来看, 出现问题后的恢复时间长短其实成为衡量一个厂商服务能力的一个重要指标,之前国外云厂商能在完全中断服务的情况下,2 个小时内恢复云,属于相对成功的案例。」
「第三点不得不提到由于被攻击或人为恶意操作导致的问题。
云服务模式下的信息和数据高度集中,对云服务提供商的安全能力提出了非常高的要求,如何抗住外部黑客攻击入侵以及内部恶意人员的觊觎,让服务和数据安全的存储和使用,满足 CIA(机密性,完整性和可用性)要求,云服务商需要重点在安全上花大力气和大投入。 」
DDoS成为针对服务和数据的最猖獗的攻击之一
2014 年的双十一,一家云安全公司服务的互联网金融客户被攻击,这次攻击持续时间很长。云安全公司通过自己的线人找到了蓄意攻击的黑客。
此时的黑客正在泰国享受海滩和阳光,并夸下海口:「我已经收入定金 2 万,如果攻下来还会有更多奖励,我会一直攻击的。」 这家云安全公司和黑客继续搏斗了一天一宿,黑客不断变化策略,工程师随即加强防护,最终黑客放弃了,也不得不把 2 万的定金还回去。
像这样的攻击几乎始终在云计算领域上演着,来自于竞争对手雇佣黑客进行攻击;黑客为显示自己的技术发起攻击;通过对用户网站攻击进行敲诈勒索,各种 DDoS 攻击在此消彼长。攻击者会轮流尝试流量攻击、CC 攻击、混合型攻击等,断断续续持续几天时间,直到攻击者得手或死心。其中 CC 攻击(Challenge Collapsar,挑战黑洞)主打应用层,也是 DDoS 攻击的一种。
DDoS 的含义是「分布式拒绝服务」。第一个D表示用的是分布式的资源,而 DoS 是目标和结果,通过拒绝服务让用户业务失去可用性,这里可能是不能访问网页、不能下单、看不到商品、搜索不出来结果等等。
黑客试图把云服务商的宽带占满,或者耗尽其系统或数据库计算或 IO 能力。由于其攻击手段是分布式的,攻击源可能来自很多机器,比如一些被控制的肉机或者花钱包下来的机房。肉机来源多种多样,可能是被控制的个人计算机、服务器或者网络设备。
近些年来的 DDOS 攻击源和攻击方式上有一些流行趋势:
1 反射 DdoS(DrDDOS) 攻击被广泛的利用, 利用开放在互联网上的一些公共服务或操作系统的特性,攻击者发出的一个小流量数据包通过反射扩大到几十倍或上百倍。比如 1G 的流量经过存在漏洞的服务器变成 10G 流量,可以快速堵满一个小机房的出口宽带。
2 嵌入式设备变成攻击源日渐频繁。 随着 IOT 的普及,智能家居,路由器,无线接入点,甚至是城市的公共服务比如全城 Wi-Fi 等。这些终端成为黑客可攻击的目标。我们甚至观察到,使用手机参与的网络攻击行为。这其中,有些嵌入式设备如路由器作为网络最前端的接入点,其拥有的带宽和数据包收发处理能力是相当恐怖的。
3 第三种方式就是包机房。 这种方式虽然并不新鲜,属于老生常谈,但很多大流量的攻击如 Syn Flood 一般都是此种类型的环境打出,由于其来源 IP 伪造,在实际的攻击源追溯方面,也存在一定的难度。DDoS 一般都是蓄意攻击,黑客愿意付出一定的成本包机房是显而易见的。有时云服务商被攻击,看到攻击来源是世界各地的,其实往往是黑客包的一个机房。
王宇认为有一个重要趋势是所有云服务商都必须注意,那就是自己的服务可能会被黑客作为攻击源打外部用户。云服务商需要对自己提供的服务提高检测能力,防止自己的机器被黑客利用,同时在攻击发生时,云服务商需要要有一定的预警和压制能力。
目前各家云服务和安全厂商都在推广自己的 CDN 服务,CDN 在某种程度商可以抗击 DDoS 攻击,为了了解其中的机制,笔者也求助了 UPYUNCTO 黄慧攀。
「一般黑客通过 DDos 攻击云服务商或者云上的某家企业,会主要攻打一个机房或者说某一个节点,让这个节点的带宽全部跑满。这就像是你的身体有多大,你就能承受多少力量。 如在被攻击时,可以释放更多的 CDN 节点给到被攻击方,同时把受到攻击的用户全部转移到高防机房,在半小时内逐一排查,最后确认被攻击的客户和攻击来源。这就是 CDN 防止 DDos 的机制。 」、
新型隐患 0day 漏洞与持续升温的 APT 攻击
不久前,在知名论坛软件系统 Discuz X3.2 最新版源码包中的默认插件 dzapp_haodai 中,被发现存在高危漏洞。Discuz 是国内最主流的论坛软件系统,用户量大,影响范围广。dzapp_haodai 是一款好贷站长联盟插件,站长安装之后可以增加社区贷款频道,实现银行、小贷公司等上万种产品的数据展示和使用。
近1年,黑客紧盯互联网金融领域,该漏洞对黑客的吸引力不言自明。一旦黑客获取到服务器权限,就可以盗取用户信息、资金账户。0day 漏洞主要是软件漏洞导致的黑客攻击。在 SaaS 软件层面,因为涉及到用户的加密和解密,黑客会伪造成访客,即便没有证书读取加密的数据,也能够入侵你的系统。
Gartner 的最新统计,75% 的攻击行为已经由网络层转移到了应用层,在最近美国计算机安全协会 (CSI)/美国联邦调查局 (FBI) 的一项研究中也表明:在接受调查的公司中有 52% 的公司的系统遭受过外部入侵,但其中有 98% 的公司都是装有防火墙的。
代表黑客攻击最高水平的当属 APT(Advanced Persistent Threat 高级持续性威胁)攻击,其是一种利用 0day 等先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。A 表示高级,是指在资源和时间商的有非常多的充足,可能包括漏洞,用到的木马,渗透用的定制化工具。P 体现在持续性,T 是有针对性威胁。
0day 漏洞之所以可怕,是因为黑客已经掌握而官方还没有相关补丁,但最可怕的不是漏洞存在的先天性,而是 0day 的不可预知性,拥有 0day 的黑客完全可以犹如无人之境在目标系统中肆意窥视破坏。只有早于黑客发现漏洞,或者在黑客展开 0day 攻击之前打上补丁,才能避免安全事故的发生。在尚未升级漏洞补丁之前,包含 0day 漏洞的网站都处在「裸奔」状态。
APT 攻击是隐藏性的,专门针对的是核心数据或情报,比如阿里云在金融和政府领域应用较多,最近收购的瀚海源,也是为了更多的防范 APT 攻击。
判断云服务是否安全的「潜规则」
今年 UPYUN 也曾出现了因为数据中心光纤被挖断导致的服务中断,受到影响的客户都按照 150 倍的赔偿,基数是前一天的消费额度。而这次青云事故对用户的赔付也超过百万。
但实际上,云服务终端对用户的赔付也只是后话,用户真正的损失很难有一个具体的量化指标。因此在选择云服务商的具体指标上就要更加仔细。
对于用户而言,哪些因素是判断一家云服务商安全的重点呢?UPYUNCTO 黄慧攀告诉我了一些可以评判的「潜规则」。
第一通过业务成熟度,判断某一类云厂商所提供的服务的能力。 在签订云厂商的时候,要考量合同和业绩,SLA 保障资质是关注重点,SLA 是 Service-Level Agreement 的缩写,意思是服务等级协议。是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。比如保障服务中断时间不能超过多少,在线达到 99.9%,几个 9 的稳定性;一年内问题累计时长不能超过多少。
其次,用户在选择服务商的地方,用户对自己的技术部署也要有考量,不能全部依赖云服务商。 有条件的用户,在云上要自己设计灾备制,避免单点服务。可以选择一个服务商不同地区的机房,或者同时采用多家云服务。
在比较具体的一些做法上,可以优先考虑规模,一般云服务商的规模越大保障能力越强。
还可以连续一个星期在各个云上做实验,跑压力测试,如果云服务比较稳定,波动较少是比较值得使用的。目前云服务厂商会出现一些超卖云主机的行为,超卖,简单解释就是云主机实际只能支持100台虚拟机,但云平台卖了120台。如果波动较少,意味着超卖的可能性降低。
在总结了这些技术、机制以及攻击带来了云在服务上的安全隐患,另外一个值得注意的则是数据安全问题。
在美国,数据泄漏要云服务商承担很高昂的代价,因此没有公司会这么明目张胆地买卖数据。数据泄露的另外原因则是云服务商内部员工操作导致。
云上的用户都是弱势群体,很多数据泄露都是在用户不知情的情况下被泄漏出去。尽管公有云厂商会承诺存放在其上的数据一定是加密的,但现实是公有云厂商可以直接把用户的数据拷走。
「数据在云平台上的隔离其实只是一个说法。用户对数据的所有权和管理权是分离的。数据是用户的,但你却管不着,除非那些非常核心的数据,公有云服务商为你加密,但依照现在的技术,全部数据加密是很难做到的。」 UPYUNCTO 黄慧攀道出行业的真实情况。
「数据技术还无法加密到只有客户能看见,对服务商和运营商是黑盒子。数据只给客户看,但要让数据在云上跑起来,就必须检索查询运行,这是个悖论。」
本文作者:佚名
来源:51CTO