2014年中国云计算产业继续保持2013年的发展态势,并逐渐与游戏、移动互联网、大数据等产业相结合产生放大效应。凡事皆有利弊,随着规模扩大 及目标价值增长,许多黑客开始关注这一新兴领域的“潜在价值”。不知不觉中,暗流涌动,“安全之战”响彻“云”霄。下面分别从IaaS、PaaS、SaaS三种服务模式谈一谈云计算领域的攻防趋势。
分布式拒绝服务攻击(DDoS)。迄今为止DDoS攻击仍然是最有效的攻击手段,且随着DDoS技术进步,这种攻击成本越来越低,并且在将来很长一段 时间内仍然无法根治。这种攻击隐蔽且非常有效,UCloud在今年5月就遭受到63G的大流量攻击。这对IaaS厂商来说是致命的,长时间的业务中断,任 何客户都承受不起。利用NTP的反射型DDoS可以说是DDoS中的核武器、杀手锏,可将攻击流量放大至200倍,如四两拨千斤般,几乎可以打瘫任何厂商 的带宽出口,国外CDN厂商CloudFlare今年年初就遭受到400G的反射型流量攻击。
Web攻击。为了提升交互体验,云服务商都会提供一个Web方式的管理控制台,若控制台自身存在漏洞,一定会造成危害。这种漏洞主要来自两方面。一方 面是程序代码对输入信息校验不完整或程序逻辑有误造成的漏洞。例如,某云计算巨头厂商基于开源软件ElasticSearch开发的搜索工具存在远程执行 的漏洞,可以执行任意命令和写文件操作。另一方面是部署或使用第三方工具不当造成的漏洞。例如,某云服务商使用OpenSSL不当造成用户信息泄露,进而 使黑客能够以该用户身份登录并获取服务器敏感信息。
虚拟机资源滥用。当前云计算业务正处于发展期,一些传统用户还处于是否向云计算迁移的纠结中。因此,很多云厂商提供了免费的虚拟机试用服务,黑客正利 用了这一机会并结合其他手段,如批量注册免费邮箱等,来大量申请免费云计算资源构筑强大的云攻击环境,并且形成一种商业服务AaaS(Attacks- as-a-Service),任何人只要购买该服务即可对任意目标发动DDoS攻击。
底层IaaS遇到的问题在PaaS层面依然存在。由于PaaS平台可以托管应用并在其平台上完成开发工作,如果权限管理不正确的话会导致用户的App 被篡改乃至被恶意删除。今年5月,新浪SAE就被发现存在用户越权操作、可删除任意用户的代码仓库的漏洞。另外,PaaS平台提供的数据库服务,如果数据 库配置不当也会产生很多安全隐患,有些数据库甚至缺少强健的身份认证能力,如Redis。如果PaaS厂商对访问请求没有限制的话,黑客可以通过暴力破解 方式获取数据库密码,从而导致数据泄露。
今年6月,国外代码托管服务商Code Spaces(构筑在亚马逊AWS EC2下的PaaS平台)由于被黑客恶意删除了全部数据导致被迫关闭。从中我们看到由于PaaS平台是构筑在IaaS基础之上的,用户不能触及真正的物理服务器,所以管理服务器的 操作只能通过IaaS提供的控制面板、管理控制台等Web界面来完成,一旦口令被破解,真实用户只能眼睁睁看着黑客操控自己的机器。所以我建议IaaS除 了提供必要的基础安全措施外,还可以进一步考虑提供一些额外的安全机制,比如多因素身份认证等增值服务,给用户更多选择。
SaaS的业务形态主要是以Web方式进行输出,所以面临的主要安全风险都集中在SQL注入、跨站脚本(XSS)、API交互缺乏签名验证导致仿冒盗用乃至数据泄露等方面。
迄今为止,凡是已公开运营的云服务,无论规模大小,几乎无一幸免,都或多或少被曝出现过上述漏洞。
云计算安全防范之我所见
安全防御,是一个系统工程,它不仅仅涉及技术,也包括管理手段。特别是在云计算环境中,商业模式、部署方式以及技术架构都发生了重大变化,导致所面临 的风险也发生了巨大变化。如果管理手段跟不上,就可能造成重大事故。例如,我们一台开发使用的测试服务器部署在某个云上,但某天突然无法访问,管理员登录 管理控制台后大吃一惊,服务器居然已经被云服务商销毁。云服务商回复称这是他们内部的人为失误造成的,但由于是物理删除,所以无法恢复。通过这个事件可以 看到,如果没有一个完善的管理流程,就算拥有强大的技术也无能为力。因此,清晰地划分职责与权限至关重要,否则一个点被黑客突破就可能造成权限滥用,进而 给客户造成巨大的损失。
在技术对抗方面,我们认为:师“云”长技以制“云”。云计算的精髓是提升效率与降低成本,而传统安全设备却与此背道而驰,例如:传统的应用防火墙 (WAF)单台设备的吞吐量与处理能力有限,给云计算服务造成瓶颈。在技术选型时,用户应更多考虑那些能与云有机结合的技术产品或方案。
结合云计算业务特点与技术架构,云计算服务商应结合自己的业务特点,重点围绕以下三大方面进行防御:应用与API安全、数据安全与协作、防火墙(物理 防火墙与虚拟防火墙)。在加固平台安全机制的同时,也要指导或帮助用户做好安全服务,如此双管齐下才能提升安全性。当然,术业有专攻,云计算服务商并不是 安全专家,自身可能也无法应对众多复杂的安全性问题,在这方面还应加强与专业安全厂商的深度合作。
随着黑客在云上开辟出第二战场,“云安全之战”已无法避免,这也刺激了云安全服务产业的发展,只有越来越多的云安全服务商出现才能促进云安全产业的技术创新与发展,相信这支新军将成为云安全的主力军。