云安全三大隱患

“失望、準(zhǔn)備遷移、賠錢”，這是用戶在云服務(wù)中斷后的普遍反應(yīng)。梳理近 1 年以來(lái)發(fā)生的云安全事故，我們發(fā)現(xiàn)：

• 去年 11 月，今年 3 月微軟 Azure 出現(xiàn)過(guò)云故障。
• 蘋(píng)果在3月和7月都出現(xiàn)過(guò)問(wèn)題，3 月的癱瘓更是超過(guò) 11 個(gè)小時(shí)，App Store、Apple Music、Apple Radio、Apple TV 等，甚至是 OS X 軟件更新都受到了影響。
• 黑色 5 月里，網(wǎng)易、支付寶、攜程都連續(xù)出現(xiàn)問(wèn)題。其中支付寶出現(xiàn)的問(wèn)題和今年 7 月紐交所技術(shù)故障導(dǎo)致的交易暫停都是設(shè)計(jì)金融領(lǐng)域比較嚴(yán)重的事故。支付寶解釋自己故障的原因是運(yùn)營(yíng)商的光纖被挖斷導(dǎo)致。
• 6 月阿里云香港機(jī)房癱瘓 12 個(gè)小時(shí)。
• 今年 3 月騰訊云也曾出現(xiàn)用戶無(wú)法訪問(wèn)，回應(yīng)是上海機(jī)房出現(xiàn)問(wèn)題。
• 7月就在云服務(wù)廠商青云第一屆用戶大會(huì)進(jìn)行的同時(shí)，青云的云服務(wù)出現(xiàn)了中斷。

每一個(gè)事故都有自己獨(dú)特的原因，那么如何系統(tǒng)地看待云事故，筆者請(qǐng)教了百度云安全部技術(shù)主席王宇。

王宇認(rèn)為，涉及之前出現(xiàn)的云事故大體可以分為三類：

「首先是硬件故障。云環(huán)境下硬件故障是十分常見(jiàn)的情況，在設(shè)計(jì)支撐云服務(wù)的底層基礎(chǔ)設(shè)施之初就應(yīng)該充分考慮。 如何避免單點(diǎn)，如何實(shí)現(xiàn)熱備及自動(dòng)故障恢復(fù)甚至「帶傷運(yùn)轉(zhuǎn)」是每個(gè)云服務(wù)商在事前就必須考慮的問(wèn)題，傳統(tǒng)意義上簡(jiǎn)單的災(zāi)備并不能滿足云服務(wù)的高可靠要求。

除了青云的此次事故，5 月網(wǎng)易出現(xiàn)的部分服務(wù)無(wú)法訪問(wèn)，業(yè)界也有觀點(diǎn)認(rèn)為是其網(wǎng)絡(luò)設(shè)備板卡出現(xiàn)問(wèn)題，這都屬于硬件方面的準(zhǔn)備和考慮不足所致?！?/p>

「其次人為誤操作。對(duì)于云環(huán)境下的業(yè)務(wù)來(lái)說(shuō)，單次誤操作的影響力無(wú)疑被很大程度的放大了。雖然每個(gè)云服務(wù)商都應(yīng)該有 SOP(Standard Operation Procedure，即標(biāo)準(zhǔn)作業(yè)程序，就是將某一事件的標(biāo)準(zhǔn)操作步驟和要求以統(tǒng)一的格式描述出來(lái)，用來(lái)指導(dǎo)和規(guī)范日常的工作)和 BCP(業(yè)務(wù)持續(xù)性計(jì)劃、Business Continuity Plan)，但在實(shí)際的制定和執(zhí)行過(guò)程中經(jīng)常會(huì)出現(xiàn)考慮不周或者執(zhí)行不到位的情況。 云服務(wù)提供商需要通過(guò)對(duì)外不斷的學(xué)習(xí)評(píng)估業(yè)內(nèi)之前出現(xiàn)過(guò)的案例，以及其處理方式的妥善與否來(lái)改進(jìn)完善自己的 SOP 和 BCP，對(duì)內(nèi)結(jié)合自己的業(yè)務(wù)場(chǎng)景不斷進(jìn)行演練改進(jìn)，提升其執(zhí)行力度和熟練程度。

簡(jiǎn)單來(lái)看， 出現(xiàn)問(wèn)題后的恢復(fù)時(shí)間長(zhǎng)短其實(shí)成為衡量一個(gè)廠商服務(wù)能力的一個(gè)重要指標(biāo)，之前國(guó)外云廠商能在完全中斷服務(wù)的情況下，2 個(gè)小時(shí)內(nèi)恢復(fù)云，屬于相對(duì)成功的案例。」

「第三點(diǎn)不得不提到由于被攻擊或人為惡意操作導(dǎo)致的問(wèn)題。

云服務(wù)模式下的信息和數(shù)據(jù)高度集中，對(duì)云服務(wù)提供商的安全能力提出了非常高的要求，如何抗住外部黑客攻擊入侵以及內(nèi)部惡意人員的覬覦，讓服務(wù)和數(shù)據(jù)安全的存儲(chǔ)和使用，滿足 CIA(機(jī)密性，完整性和可用性)要求，云服務(wù)商需要重點(diǎn)在安全上花大力氣和大投入。 」

DDoS成為針對(duì)服務(wù)和數(shù)據(jù)的最猖獗的攻擊之一

2014 年的雙十一，一家云安全公司服務(wù)的互聯(lián)網(wǎng)金融客戶被攻擊，這次攻擊持續(xù)時(shí)間很長(zhǎng)。云安全公司通過(guò)自己的線人找到了蓄意攻擊的黑客。

此時(shí)的黑客正在泰國(guó)享受海灘和陽(yáng)光，并夸下?？冢骸肝乙呀?jīng)收入定金 2 萬(wàn)，如果攻下來(lái)還會(huì)有更多獎(jiǎng)勵(lì)，我會(huì)一直攻擊的?！?這家云安全公司和黑客繼續(xù)搏斗了一天一宿，黑客不斷變化策略，工程師隨即加強(qiáng)防護(hù)，最終黑客放棄了，也不得不把 2 萬(wàn)的定金還回去。

像這樣的攻擊幾乎始終在云計(jì)算領(lǐng)域上演著，來(lái)自于競(jìng)爭(zhēng)對(duì)手雇傭黑客進(jìn)行攻擊;黑客為顯示自己的技術(shù)發(fā)起攻擊;通過(guò)對(duì)用戶網(wǎng)站攻擊進(jìn)行敲詐勒索，各種 DDoS 攻擊在此消彼長(zhǎng)。攻擊者會(huì)輪流嘗試流量攻擊、CC 攻擊、混合型攻擊等，斷斷續(xù)續(xù)持續(xù)幾天時(shí)間，直到攻擊者得手或死心。其中 CC 攻擊(Challenge Collapsar，挑戰(zhàn)黑洞)主打應(yīng)用層，也是 DDoS 攻擊的一種。

DDoS 的含義是「分布式拒絕服務(wù)」。第一個(gè)D表示用的是分布式的資源，而 DoS 是目標(biāo)和結(jié)果，通過(guò)拒絕服務(wù)讓用戶業(yè)務(wù)失去可用性，這里可能是不能訪問(wèn)網(wǎng)頁(yè)、不能下單、看不到商品、搜索不出來(lái)結(jié)果等等。

黑客試圖把云服務(wù)商的寬帶占滿，或者耗盡其系統(tǒng)或數(shù)據(jù)庫(kù)計(jì)算或 IO 能力。由于其攻擊手段是分布式的，攻擊源可能來(lái)自很多機(jī)器，比如一些被控制的肉機(jī)或者花錢包下來(lái)的機(jī)房。肉機(jī)來(lái)源多種多樣，可能是被控制的個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備。

近些年來(lái)的 DDOS 攻擊源和攻擊方式上有一些流行趨勢(shì)：

1 反射 DdoS(DrDDOS) 攻擊被廣泛的利用， 利用開(kāi)放在互聯(lián)網(wǎng)上的一些公共服務(wù)或操作系統(tǒng)的特性，攻擊者發(fā)出的一個(gè)小流量數(shù)據(jù)包通過(guò)反射擴(kuò)大到幾十倍或上百倍。比如 1G 的流量經(jīng)過(guò)存在漏洞的服務(wù)器變成 10G 流量，可以快速堵滿一個(gè)小機(jī)房的出口寬帶。

2 嵌入式設(shè)備變成攻擊源日漸頻繁。 隨著 IOT 的普及，智能家居，路由器，無(wú)線接入點(diǎn)，甚至是城市的公共服務(wù)比如全城 Wi-Fi 等。這些終端成為黑客可攻擊的目標(biāo)。我們甚至觀察到，使用手機(jī)參與的網(wǎng)絡(luò)攻擊行為。這其中，有些嵌入式設(shè)備如路由器作為網(wǎng)絡(luò)最前端的接入點(diǎn)，其擁有的帶寬和數(shù)據(jù)包收發(fā)處理能力是相當(dāng)恐怖的。

3 第三種方式就是包機(jī)房。 這種方式雖然并不新鮮，屬于老生常談，但很多大流量的攻擊如 Syn Flood 一般都是此種類型的環(huán)境打出，由于其來(lái)源 IP 偽造，在實(shí)際的攻擊源追溯方面，也存在一定的難度。DDoS 一般都是蓄意攻擊，黑客愿意付出一定的成本包機(jī)房是顯而易見(jiàn)的。有時(shí)云服務(wù)商被攻擊，看到攻擊來(lái)源是世界各地的，其實(shí)往往是黑客包的一個(gè)機(jī)房。

王宇認(rèn)為有一個(gè)重要趨勢(shì)是所有云服務(wù)商都必須注意，那就是自己的服務(wù)可能會(huì)被黑客作為攻擊源打外部用戶。云服務(wù)商需要對(duì)自己提供的服務(wù)提高檢測(cè)能力，防止自己的機(jī)器被黑客利用，同時(shí)在攻擊發(fā)生時(shí)，云服務(wù)商需要要有一定的預(yù)警和壓制能力。

目前各家云服務(wù)和安全廠商都在推廣自己的 CDN 服務(wù)，CDN 在某種程度商可以抗擊 DDoS 攻擊，為了了解其中的機(jī)制，筆者也求助了 UPYUNCTO 黃慧攀。

「一般黑客通過(guò) DDos 攻擊云服務(wù)商或者云上的某家企業(yè)，會(huì)主要攻打一個(gè)機(jī)房或者說(shuō)某一個(gè)節(jié)點(diǎn)，讓這個(gè)節(jié)點(diǎn)的帶寬全部跑滿。這就像是你的身體有多大，你就能承受多少力量。 如在被攻擊時(shí)，可以釋放更多的 CDN 節(jié)點(diǎn)給到被攻擊方，同時(shí)把受到攻擊的用戶全部轉(zhuǎn)移到高防機(jī)房，在半小時(shí)內(nèi)逐一排查，最后確認(rèn)被攻擊的客戶和攻擊來(lái)源。這就是 CDN 防止 DDos 的機(jī)制。 」、

#p#

新型隱患 0day 漏洞與持續(xù)升溫的 APT 攻擊

不久前，在知名論壇軟件系統(tǒng) Discuz X3.2 最新版源碼包中的默認(rèn)插件 dzapp_haodai 中，被發(fā)現(xiàn)存在高危漏洞。Discuz 是國(guó)內(nèi)最主流的論壇軟件系統(tǒng)，用戶量大，影響范圍廣。dzapp_haodai 是一款好貸站長(zhǎng)聯(lián)盟插件，站長(zhǎng)安裝之后可以增加社區(qū)貸款頻道，實(shí)現(xiàn)銀行、小貸公司等上萬(wàn)種產(chǎn)品的數(shù)據(jù)展示和使用。

近1年，黑客緊盯互聯(lián)網(wǎng)金融領(lǐng)域，該漏洞對(duì)黑客的吸引力不言自明。一旦黑客獲取到服務(wù)器權(quán)限，就可以盜取用戶信息、資金賬戶。0day 漏洞主要是軟件漏洞導(dǎo)致的黑客攻擊。在 SaaS 軟件層面，因?yàn)樯婕暗接脩舻募用芎徒饷?，黑客?huì)偽造成訪客，即便沒(méi)有證書(shū)讀取加密的數(shù)據(jù)，也能夠入侵你的系統(tǒng)。

Gartner 的最新統(tǒng)計(jì)，75% 的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層，在最近美國(guó)計(jì)算機(jī)安全協(xié)會(huì) (CSI)/美國(guó)聯(lián)邦調(diào)查局 (FBI) 的一項(xiàng)研究中也表明：在接受調(diào)查的公司中有 52% 的公司的系統(tǒng)遭受過(guò)外部入侵，但其中有 98% 的公司都是裝有防火墻的。

代表黑客攻擊最高水平的當(dāng)屬 APT(Advanced Persistent Threat 高級(jí)持續(xù)性威脅)攻擊，其是一種利用 0day 等先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。A 表示高級(jí)，是指在資源和時(shí)間商的有非常多的充足，可能包括漏洞，用到的木馬，滲透用的定制化工具。P 體現(xiàn)在持續(xù)性，T 是有針對(duì)性威脅。

0day 漏洞之所以可怕，是因?yàn)楹诳鸵呀?jīng)掌握而官方還沒(méi)有相關(guān)補(bǔ)丁，但最可怕的不是漏洞存在的先天性，而是 0day 的不可預(yù)知性，擁有 0day 的黑客完全可以猶如無(wú)人之境在目標(biāo)系統(tǒng)中肆意窺視破壞。只有早于黑客發(fā)現(xiàn)漏洞，或者在黑客展開(kāi) 0day 攻擊之前打上補(bǔ)丁，才能避免安全事故的發(fā)生。在尚未升級(jí)漏洞補(bǔ)丁之前，包含 0day 漏洞的網(wǎng)站都處在「裸奔」?fàn)顟B(tài)。

APT 攻擊是隱藏性的，專門針對(duì)的是核心數(shù)據(jù)或情報(bào)，比如阿里云在金融和政府領(lǐng)域應(yīng)用較多，最近收購(gòu)的瀚海源，也是為了更多的防范 APT 攻擊。

判斷云服務(wù)是否安全的「潛規(guī)則」

今年 UPYUN 也曾出現(xiàn)了因?yàn)閿?shù)據(jù)中心光纖被挖斷導(dǎo)致的服務(wù)中斷，受到影響的客戶都按照 150 倍的賠償，基數(shù)是前一天的消費(fèi)額度。而這次青云事故對(duì)用戶的賠付也超過(guò)百萬(wàn)。

但實(shí)際上，云服務(wù)終端對(duì)用戶的賠付也只是后話，用戶真正的損失很難有一個(gè)具體的量化指標(biāo)。因此在選擇云服務(wù)商的具體指標(biāo)上就要更加仔細(xì)。

對(duì)于用戶而言，哪些因素是判斷一家云服務(wù)商安全的重點(diǎn)呢?UPYUNCTO 黃慧攀告訴我了一些可以評(píng)判的「潛規(guī)則」。

第一通過(guò)業(yè)務(wù)成熟度，判斷某一類云廠商所提供的服務(wù)的能力。 在簽訂云廠商的時(shí)候，要考量合同和業(yè)績(jī)，SLA 保障資質(zhì)是關(guān)注重點(diǎn)，SLA 是 Service-Level Agreement 的縮寫(xiě)，意思是服務(wù)等級(jí)協(xié)議。是關(guān)于網(wǎng)絡(luò)服務(wù)供應(yīng)商和客戶間的一份合同，其中定義了服務(wù)類型、服務(wù)質(zhì)量和客戶付款等術(shù)語(yǔ)。比如保障服務(wù)中斷時(shí)間不能超過(guò)多少，在線達(dá)到 99.9%，幾個(gè) 9 的穩(wěn)定性;一年內(nèi)問(wèn)題累計(jì)時(shí)長(zhǎng)不能超過(guò)多少。

其次，用戶在選擇服務(wù)商的地方，用戶對(duì)自己的技術(shù)部署也要有考量，不能全部依賴云服務(wù)商。 有條件的用戶，在云上要自己設(shè)計(jì)災(zāi)備制，避免單點(diǎn)服務(wù)?？梢赃x擇一個(gè)服務(wù)商不同地區(qū)的機(jī)房，或者同時(shí)采用多家云服務(wù)。

在比較具體的一些做法上，可以優(yōu)先考慮規(guī)模，一般云服務(wù)商的規(guī)模越大保障能力越強(qiáng)。

還可以連續(xù)一個(gè)星期在各個(gè)云上做實(shí)驗(yàn)，跑壓力測(cè)試，如果云服務(wù)比較穩(wěn)定，波動(dòng)較少是比較值得使用的。目前云服務(wù)廠商會(huì)出現(xiàn)一些超賣云主機(jī)的行為，超賣，簡(jiǎn)單解釋就是云主機(jī)實(shí)際只能支持100臺(tái)虛擬機(jī),但云平臺(tái)賣了120臺(tái)。如果波動(dòng)較少，意味著超賣的可能性降低。

在總結(jié)了這些技術(shù)、機(jī)制以及攻擊帶來(lái)了云在服務(wù)上的安全隱患，另外一個(gè)值得注意的則是數(shù)據(jù)安全問(wèn)題。

在美國(guó)，數(shù)據(jù)泄漏要云服務(wù)商承擔(dān)很高昂的代價(jià)，因此沒(méi)有公司會(huì)這么明目張膽地買賣數(shù)據(jù)。數(shù)據(jù)泄露的另外原因則是云服務(wù)商內(nèi)部員工操作導(dǎo)致。

云上的用戶都是弱勢(shì)群體，很多數(shù)據(jù)泄露都是在用戶不知情的情況下被泄漏出去。盡管公有云廠商會(huì)承諾存放在其上的數(shù)據(jù)一定是加密的，但現(xiàn)實(shí)是公有云廠商可以直接把用戶的數(shù)據(jù)拷走。

「數(shù)據(jù)在云平臺(tái)上的隔離其實(shí)只是一個(gè)說(shuō)法。用戶對(duì)數(shù)據(jù)的所有權(quán)和管理權(quán)是分離的。數(shù)據(jù)是用戶的，但你卻管不著，除非那些非常核心的數(shù)據(jù)，公有云服務(wù)商為你加密，但依照現(xiàn)在的技術(shù)，全部數(shù)據(jù)加密是很難做到的。」 UPYUNCTO 黃慧攀道出行業(yè)的真實(shí)情況。

「數(shù)據(jù)技術(shù)還無(wú)法加密到只有客戶能看見(jiàn)，對(duì)服務(wù)商和運(yùn)營(yíng)商是黑盒子。數(shù)據(jù)只給客戶看，但要讓數(shù)據(jù)在云上跑起來(lái)，就必須檢索查詢運(yùn)行，這是個(gè)悖論?！?/p>