CloudFlare敲響云安全連鎖威脅警鐘
近期,CloudFlare云服務(wù)商“泄漏用戶數(shù)據(jù)”事件受到各方關(guān)注,因其危害嚴(yán)重性堪比臭名昭著的“心臟出血”漏洞事件,安全界甚至將之稱為“云出血”漏洞事件。據(jù)了解,此次漏洞影響時間長達(dá)數(shù)月,受影響的網(wǎng)站預(yù)計至少200萬,優(yōu)步(Uber)、OKCupid、Fibit 等知名網(wǎng)站赫然在列。亞信安全云安全產(chǎn)品總監(jiān)朱立分析認(rèn)為,這只是云安全威脅連鎖反應(yīng)的一次典型案例,不排除日后還會有類似甚至更加嚴(yán)重的事件發(fā)生。
云安全威脅首次大規(guī)模連鎖反應(yīng)
簡單來說,云出血漏洞是由于CloudFlare的舊Ragel解析程序出現(xiàn)了的Bug,導(dǎo)致HTML解析程序出現(xiàn)異常,使Cookie、密碼、密鑰以及其他各種用戶數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上;而更嚴(yán)重的是,數(shù)據(jù)以網(wǎng)頁為載體,很容易被搜索引擎或者爬蟲抓取并緩存,即便CloudFlare已經(jīng)修復(fù)了這個Bug,如果搜索引擎或者爬蟲不主動刪除這些緩存數(shù)據(jù),仍然會有大量的用戶數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。
朱立認(rèn)為,這可能是云安全威脅首次大規(guī)模連鎖反應(yīng),云計算的服務(wù)化特性是重要原因之一。眾所周知,云計算就像“水電氣”服務(wù)一樣可以按需購買,這種服務(wù)化的模式使得越來越多的IT功能被分離出來,作為一種服務(wù)提供給第三方。比如此次事件的“主角”CloudFlare提供的CDN和安全服務(wù),還有更多廠商提供的計算、存儲、網(wǎng)絡(luò)、API、數(shù)據(jù)庫等服務(wù)。這種共享服務(wù)的模式將各種第三方服務(wù)公司與大量的用戶錯綜復(fù)雜的聯(lián)系到了一起,這樣的結(jié)果就是如果一個服務(wù)商出現(xiàn)了漏洞,其影響可能不止其本身,還會給大量的生態(tài)伙伴以及其服務(wù)的最終用戶帶來進(jìn)一步的連鎖威脅。
這種連鎖威脅因云計算規(guī)模化、集中化的特性,又會進(jìn)一步被放大。一方面,云計算覆蓋的用戶量規(guī)模巨大,“云出血”漏洞受影響的網(wǎng)站已經(jīng)至少200萬之多,再聯(lián)系到每個網(wǎng)站又將服務(wù)眾多的用戶,最終影響的用戶量極為巨大。另一方面,云計算會像商超那樣趨于集中化,會將越來越多的小規(guī)模云計算服務(wù)商淘汰,形成巨型云服務(wù)公司,數(shù)據(jù)就更加集中、龐大。這也在一定程度上印證了“大數(shù)據(jù)時代最先受益的是黑客”這句話。因?yàn)橐郧斑€要逐個攻破,現(xiàn)在數(shù)據(jù)集中,直接可以“一鍋端”了。
從云技術(shù)特性來講,云計算在打破計算、存儲、網(wǎng)絡(luò)等各種功能邊界,讓IT可以在一個中心統(tǒng)一管理的同時,也給網(wǎng)絡(luò)威脅的流竄帶來了便利。以往硬件、應(yīng)用、存儲等隔離性比較強(qiáng),可以給那些流入企業(yè)IT網(wǎng)絡(luò)的威脅造成一定的“隔離墻”功效,將威脅隔離在一定的范圍之內(nèi),而在“無墻”的云中,黑客“通關(guān)”的可能性更大了。以開源云平臺OpenStack為例,多租戶通過某種Hypervisor共享物理主機(jī),在一個共享的二層網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)隔,一旦攻擊者通過某個漏洞進(jìn)入計算節(jié)點(diǎn),那么這些共享虛擬主機(jī)、甚至整個集群被拿下都是可能的。
多點(diǎn)聯(lián)動防御云安全連鎖威脅
雖然此次“云出血”事件屬于數(shù)據(jù)由內(nèi)向外“主動”流出,但也不排除未來黑客會利用云連鎖反應(yīng)主動出擊。亞信安全認(rèn)為,應(yīng)對云安全連鎖威脅首要的就是實(shí)現(xiàn)多點(diǎn)聯(lián)動防御。在過去的安全體系中,每個安全節(jié)點(diǎn)各自為戰(zhàn),沒有實(shí)質(zhì)性的聯(lián)動。而如果這些安全環(huán)節(jié)能實(shí)現(xiàn)信息共享、協(xié)同作戰(zhàn),則會帶來更好的防御效果。例如FireWall、IDS/IPS、WAF、UTM、SIEM(安全信息和事件管理)之間的有機(jī)聯(lián)動,可以更加準(zhǔn)確的鎖定入侵者。
亞信安全作為云與大數(shù)據(jù)安全的技術(shù)領(lǐng)導(dǎo)者,在網(wǎng)絡(luò)安全、云安全、終端和移動安全、APT治理、身份與訪問管理、大數(shù)據(jù)安全、安全運(yùn)營與審計、安全管理服務(wù)等領(lǐng)域擁有全球領(lǐng)先技術(shù)。
亞信安全不但能夠做到各種安全防御產(chǎn)品之間的聯(lián)動,全球威脅情報信息實(shí)時共享,還擁有最廣泛的合作生態(tài)。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security系列云安全產(chǎn)品,不但支持VMware、思杰、華為等私有云,還支持AWS、阿里云、Azure等公有云平臺。再加上亞信安全先進(jìn)的終端和移動安全、APT治理等系列產(chǎn)品與方案,能夠給企業(yè)、云服務(wù)商等各種云計算服務(wù)的使用和提供者以可靠的安全防護(hù)。
