近期，CloudFlare云服務(wù)商“泄漏用戶(hù)數(shù)據(jù)”事件受到各方關(guān)注，因其危害嚴(yán)重性堪比臭名昭著的“心臟出血”漏洞事件，安全界甚至將之稱(chēng)為“云出血”漏洞事件。據(jù)了解，此次漏洞影響時(shí)間長(zhǎng)達(dá)數(shù)月，受影響的網(wǎng)站預(yù)計(jì)至少200萬(wàn)，優(yōu)步(Uber)、OKCupid、Fibit 等知名網(wǎng)站赫然在列。亞信安全云安全產(chǎn)品總監(jiān)朱立分析認(rèn)為，這只是云安全威脅連鎖反應(yīng)的一次典型案例，不排除日后還會(huì)有類(lèi)似甚至更加嚴(yán)重的事件發(fā)生。

[[187196]]

云安全威脅首次大規(guī)模連鎖反應(yīng)

簡(jiǎn)單來(lái)說(shuō)，云出血漏洞是由于CloudFlare的舊Ragel解析程序出現(xiàn)了的Bug，導(dǎo)致HTML解析程序出現(xiàn)異常，使Cookie、密碼、密鑰以及其他各種用戶(hù)數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上;而更嚴(yán)重的是，數(shù)據(jù)以網(wǎng)頁(yè)為載體，很容易被搜索引擎或者爬蟲(chóng)抓取并緩存，即便CloudFlare已經(jīng)修復(fù)了這個(gè)Bug，如果搜索引擎或者爬蟲(chóng)不主動(dòng)刪除這些緩存數(shù)據(jù)，仍然會(huì)有大量的用戶(hù)數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。

朱立認(rèn)為，這可能是云安全威脅首次大規(guī)模連鎖反應(yīng)，云計(jì)算的服務(wù)化特性是重要原因之一。眾所周知，云計(jì)算就像“水電氣”服務(wù)一樣可以按需購(gòu)買(mǎi)，這種服務(wù)化的模式使得越來(lái)越多的IT功能被分離出來(lái)，作為一種服務(wù)提供給第三方。比如此次事件的“主角”CloudFlare提供的CDN和安全服務(wù)，還有更多廠商提供的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、API、數(shù)據(jù)庫(kù)等服務(wù)。這種共享服務(wù)的模式將各種第三方服務(wù)公司與大量的用戶(hù)錯(cuò)綜復(fù)雜的聯(lián)系到了一起，這樣的結(jié)果就是如果一個(gè)服務(wù)商出現(xiàn)了漏洞，其影響可能不止其本身，還會(huì)給大量的生態(tài)伙伴以及其服務(wù)的最終用戶(hù)帶來(lái)進(jìn)一步的連鎖威脅。

這種連鎖威脅因云計(jì)算規(guī)模化、集中化的特性，又會(huì)進(jìn)一步被放大。一方面，云計(jì)算覆蓋的用戶(hù)量規(guī)模巨大，“云出血”漏洞受影響的網(wǎng)站已經(jīng)至少200萬(wàn)之多，再聯(lián)系到每個(gè)網(wǎng)站又將服務(wù)眾多的用戶(hù)，最終影響的用戶(hù)量極為巨大。另一方面，云計(jì)算會(huì)像商超那樣趨于集中化，會(huì)將越來(lái)越多的小規(guī)模云計(jì)算服務(wù)商淘汰，形成巨型云服務(wù)公司，數(shù)據(jù)就更加集中、龐大。這也在一定程度上印證了“大數(shù)據(jù)時(shí)代最先受益的是黑客”這句話(huà)。因?yàn)橐郧斑€要逐個(gè)攻破，現(xiàn)在數(shù)據(jù)集中，直接可以“一鍋端”了。

從云技術(shù)特性來(lái)講，云計(jì)算在打破計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等各種功能邊界，讓IT可以在一個(gè)中心統(tǒng)一管理的同時(shí)，也給網(wǎng)絡(luò)威脅的流竄帶來(lái)了便利。以往硬件、應(yīng)用、存儲(chǔ)等隔離性比較強(qiáng)，可以給那些流入企業(yè)IT網(wǎng)絡(luò)的威脅造成一定的“隔離墻”功效，將威脅隔離在一定的范圍之內(nèi)，而在“無(wú)墻”的云中，黑客“通關(guān)”的可能性更大了。以開(kāi)源云平臺(tái)OpenStack為例，多租戶(hù)通過(guò)某種Hypervisor共享物理主機(jī)，在一個(gè)共享的二層網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)隔，一旦攻擊者通過(guò)某個(gè)漏洞進(jìn)入計(jì)算節(jié)點(diǎn)，那么這些共享虛擬主機(jī)、甚至整個(gè)集群被拿下都是可能的。

多點(diǎn)聯(lián)動(dòng)防御云安全連鎖威脅

雖然此次“云出血”事件屬于數(shù)據(jù)由內(nèi)向外“主動(dòng)”流出，但也不排除未來(lái)黑客會(huì)利用云連鎖反應(yīng)主動(dòng)出擊。亞信安全認(rèn)為，應(yīng)對(duì)云安全連鎖威脅首要的就是實(shí)現(xiàn)多點(diǎn)聯(lián)動(dòng)防御。在過(guò)去的安全體系中，每個(gè)安全節(jié)點(diǎn)各自為戰(zhàn)，沒(méi)有實(shí)質(zhì)性的聯(lián)動(dòng)。而如果這些安全環(huán)節(jié)能實(shí)現(xiàn)信息共享、協(xié)同作戰(zhàn)，則會(huì)帶來(lái)更好的防御效果。例如FireWall、IDS/IPS、WAF、UTM、SIEM(安全信息和事件管理)之間的有機(jī)聯(lián)動(dòng)，可以更加準(zhǔn)確的鎖定入侵者。

亞信安全作為云與大數(shù)據(jù)安全的技術(shù)領(lǐng)導(dǎo)者，在網(wǎng)絡(luò)安全、云安全、終端和移動(dòng)安全、APT治理、身份與訪(fǎng)問(wèn)管理、大數(shù)據(jù)安全、安全運(yùn)營(yíng)與審計(jì)、安全管理服務(wù)等領(lǐng)域擁有全球領(lǐng)先技術(shù)。

亞信安全不但能夠做到各種安全防御產(chǎn)品之間的聯(lián)動(dòng)，全球威脅情報(bào)信息實(shí)時(shí)共享，還擁有最廣泛的合作生態(tài)。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security系列云安全產(chǎn)品，不但支持VMware、思杰、華為等私有云，還支持AWS、阿里云、Azure等公有云平臺(tái)。再加上亞信安全先進(jìn)的終端和移動(dòng)安全、APT治理等系列產(chǎn)品與方案，能夠給企業(yè)、云服務(wù)商等各種云計(jì)算服務(wù)的使用和提供者以可靠的安全防護(hù)。