对于黑客而言,服务器是最理想的肉鸡。而当前云计算系统中的海量云主机资源,更是黑客面前的美味大餐。开源系统,本身就存在着比较严重的系统安全漏洞问题,容易使黑客趁虚而入。而虚拟系统安全管理手段匮乏,又进一步助长了黑客们的嚣张气焰。
近期,又有安全研究人员发现,数万WordPress站点被利用于实施第7层DDos攻击。大多数实施攻击的源网站托管在知名VPS/云服务提供商:亚马逊的AWS、Digital Ocean、谷歌云、微软的Azure、HETZNER、OVH和Linode之上……
云主机任黑客宰割的三宗罪
提到网络威胁,首先让人联想到的就是僵(僵尸)、木(木马)、蠕(蠕虫)。蠕虫的危害虽然巨大,但是其不可控制性过强,隐蔽性差、易于被查杀,目前已经接近被淘汰的阶段。但是通过木马控制主机,组织成庞大的僵尸网络来发起DDoS攻击的情况,目前却愈演愈烈。
云主机被黑客肆意宰割,无外乎以下三种原因。
一、开源软件漏洞
和传统的商业软件不同,开放源码软件可以被散布在世界各地的编程者、队伍开发。同时,开放的源代码也很容易被一些别有用心者利用。这就为开源系统留下了不可控制的安全隐患。于是开源软件的系统漏洞问题,自然也就开始显著增长了。
这是在网络上收集到的一个组件漏洞排名,从这个里可以看到,在WordPress组件中,居然存在着100个以上的安全漏洞。由此可知数万WordPress站点沦为黑客肉鸡也是一个理所当然的事情了。
这还只是已知漏洞所造成的威胁,在黑客手中还有很多尚未暴露的“0 day”漏洞,以及云计算系统中所存在的漏洞等等,这些漏洞所能造成的危害,就不是将用户的云主机变成“肉鸡”这么简单了。
二、木马、黑客程序
除了软件漏洞之外,木马、黑客程序对云主机的危害也不容小觑。
黑客在通过软件漏洞,获得云主机的控制权限后,会通过上传木马程序的方式,来达到对主机长期占有的目的。
另外,在云主机的使用过程中,必然要安装很多第三方的工具软件。然而一些免费工具的下载网站,往往为了达到其盈利的目的,会在这些下载程序中夹杂一些后门、木马之类的黑客程序。
此类后门、木马之类的黑客程序,具有很强的多变性与隐蔽性,还会模仿成系统或服务进程,让用户无法分辨,更难以及时进行处理。
三、撞库、暴力破解、弱口令
除了漏洞和木马之外,如果黑客撑握了用户的登录信息,一样也可以对云主机为所欲为。因此,撞库、暴力破解、弱口令等一系列安全问题,也在无时无刻对云主机的安全造成着威胁。
当每一次网络泄密事件发生后,均伴随着海量用户信息的泄露。通过对这些登录信息的收集,黑客可以打造出更加精准的“万能钥匙”,从而更加精确的,在不触及登录告警机制的情况下,通过撞库的形式,进行云主机的非法登录。除了撞库,还可以通过组织大量肉鸡,在不同时间通过强行计算的方式,对用户登录信息进行暴力破解。
此外,还有很多用户并不注意自身等录信息的安全,使用一些非常常用的、易于记忆的用户名、密码进行云主机登录,而这同样也给予黑客可乘之机。
安骑士——无微不至的安防卫士
在传统数据中心中,遇到上述问题,通常采用安装企业级的防病毒软件来进行处理。可是在云主机上,这样的处理方式就力不从心了。
首先,是资源占用的问题:传统企业级防病毒软件的实时防护程序,需要占用较多的CPU和内存资源。当进行查杀病毒操作时,还需要通过庞大的病毒库对系统和文件进行分析。对于处理性能充裕的传统服务器而言,这些资源的占用无伤大雅。而对于按资源使用付费的云主机来说,这种资源占用行为就是极大的浪费。
其次,是统一管理的问题:云计算按需部署的特性,导致云主机数量会随业务增减而不断变化,而传统企业级防毒软件对这种随机扩展的应用特点往往难以适应,无法统一进行管理,从而给黑客以可乘之机。
而且,传统企业级防护软件对于撞库、暴力破解、弱口令等骗取管理权限的黑客行为,通常缺乏有效的防护手段进行防御。
那么,云主机安全应当如何进行应对?针对这个问题,阿里云推出了全新形态的云主机安全防护产品——安骑士。
安骑士云主机防护产品,由Agent、云端防护中心、控制台与安骑士APP四大主要组成部分构成。
Agent,是一个常驻在云服务器操作系统中的轻量化进程,可以根据用户配置的安全策略上报服务器上存在的安全风险数据和新增的安全事件数据,同时响应用户和安骑士云端防护中心的指令,实现对云服务器上的安全威胁清除和恶意攻击拦截。
云端防护中心,接收全网Agent上报云服务器安全事件和威胁数据,通过云端的多个威胁识别模型,对每一条上报的安全事件进行分析,根据分析结果给Agent下发相关拦截和处理指令。
控制台,主要功能包括云服务器资产管理、安全威胁数据处理、安全策略配置、安全报表查看等全部可供用户使用的功能。
APP,可以随时随地掌握云服务器安全状态,以及迅速处理云服务器面临的安全威胁。
下面,至顶网根据目前云主机所遇到的主要威胁形式,对安骑士的安全防护功能,进行了一次体验性的评估。
统一高效轻量运维
和阿里云的大部分安全功能一样,安骑士的控制台也已经集成在了阿里云的控制台之中。通过服务器安全(安骑士)直接进行调用。并可以直观的对各台云主机安全状态进行查询。
安骑士的Agent不但可以在阿里云的云主机上进行安装,在非阿里云的服务器上也同样可以进行部署。并且可以不同版本的Windows与Linux系统进行支持。
在一台单核1G内存的Linux云主机上安装安骑士,并进行漏洞检测时发现,其AliYunDun与AliHids进程的CPU占用率仅为0.3%、内存占用率分别为0.6%与0.9%。基本不会对云主机上业务应用产生过多影响。
控制台的统一管理,极大减轻了用户对大量云主机进行维护时的工作强度。轻量级的Agent避免了云主机大量资源浪费的产生。
查疑补缺即时修复
Agent轻量级化后,是否会对检测效果产生不利的影响?为此我们同样也对安骑士Agent的检测能力进行了了解。
在通过安骑士控制台,进行内核配置检测时,发现当前云主机所使用的镜像源,已经有新镜像可供升级,于是安骑士向我们做出了风险提示。
当我们按照提示将系统内核进行升级后,风险提示消失。
源头布控清僵除木
仅仅通过被动的补丁修复,很明显是无法满足云主机安全防护需求的。要想保障云主机的安全,还要从威胁的源头查起,去主动追询。安骑士同样也具备着溯本清源木马追查能力。凭借安骑士Agent与云端防护中心联动,可以及时分析云主机中的木马行为,对木马文件及时定位、即时清理。
在本次测试中,我们在被测云主机上,上传了一个可以用于远程命令执行的Webshell脚本文件,当文件上传后,即时被安骑士Agent查觉,并在控制中心中进行告警,WebShell脚本文件也即时被加以隔离,从而无法对云主机进行更进一步控制。
登录安全查无巨细
云主机的安全,重要的还是管理权限的问题,一但用户登录名称与密码泄露,或遭到暴力破解,云主机同样也将被易手,安全更加无从保障。
在阿里云安骑士的控制台上,可以查询每次用户登录的记录信息和登录的源IP地址,一但发现异常登录信息,用户可以及时进行处理。
同时阿里云安骑士还具备出色的防暴力破解能力,可以有效对爆力破解行为进行阻断,并将爆力破解行为进行记录。
应用分析连接管理 未来云安全的新趋势
有记录、有阻断、有告警、有定位,阿里云安骑士凭借具备多种威胁识别能力的云端防护中心,高效轻量的Agent管理进程,直观即时的管理控制台应用,高性能全方位的为云主机提供了周全的安全防护能力。从而使得云主机,再也不会沦为任黑客肆意宰割的羔羊。并且,通过对黑客连接的有效定位,还可以顺藤摸瓜,最终斩断黑客伸向云主机的幕后黑手,使其曝露在光天化日之下。从而还云计算网络世界一片清静蓝天。相信随着阿里云安骑士部署数量的增长,云计算的安全也将逐步得以实现。
了解更多阿里云安骑士信息请参见:http://click.aliyun.com/m/10712/
原文发布时间为: 2017年4月17日
本文作者:杨昀煦