許多安全研究人員一致認(rèn)為，跨租戶漏洞是一種客戶需要注意的新型風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)不應(yīng)該發(fā)生在云中。

在過去的一年里，Azure發(fā)現(xiàn)了最多的安全漏洞，也是最嚴(yán)重的漏洞。有史以來最大的黑客攻擊事件之一發(fā)生在去年夏天，幾乎沒有人注意到。

2021年8月，黑客侵入了微軟Azure公有云平臺上廣泛使用的數(shù)據(jù)庫服務(wù)。他們聲稱可以訪問數(shù)千個(gè)客戶環(huán)境或租戶中的數(shù)據(jù)庫，其中包括一些財(cái)富500強(qiáng)公司的數(shù)據(jù)庫。這是可能的，因?yàn)樵朴?jì)算服務(wù)在共享基礎(chǔ)設(shè)施上運(yùn)行——事實(shí)證明，這可以發(fā)現(xiàn)一些云計(jì)算提供商認(rèn)為已經(jīng)解決的共享風(fēng)險(xiǎn)。

如果人們沒有聽說去年夏天的這起事件，那可能是因?yàn)槿肭治④汣osmos DB服務(wù)的黑客并不是網(wǎng)絡(luò)罪犯。他們是云安全初創(chuàng)廠商Wiz公司的研究人員。研究人員給該漏洞起了一個(gè)令人難忘的名字“ChaosDB”，并將其報(bào)告給了微軟。“跨租戶”問題在任何實(shí)際攻擊者攻擊之前就已修復(fù)，其危機(jī)得以化解。

但這一驚人的發(fā)現(xiàn)讓W(xué)iz公司和其他幾家供應(yīng)商的研究人員很想知道這種新型跨租戶漏洞到底有多普遍。這導(dǎo)致一個(gè)月后在Azure服務(wù)中發(fā)現(xiàn)了另一個(gè)可怕的漏洞，然后又出現(xiàn)第三個(gè)漏洞。然后又發(fā)現(xiàn)另外三個(gè)漏洞——而在幾個(gè)月內(nèi)在Azure發(fā)現(xiàn)六個(gè)關(guān)鍵漏洞。

包括ChaosDB漏洞在內(nèi)，其中五個(gè)關(guān)鍵漏洞表明有可能破壞大量不同的云計(jì)算環(huán)境或租戶。Wiz公司研究主管Shir Tamari表示，像ChaosDB這樣的跨租戶漏洞是“在云服務(wù)提供商中可能發(fā)現(xiàn)的最嚴(yán)重的漏洞?！?/p>

Tamari指出，Wiz公司的研究團(tuán)隊(duì)并沒有尋找這種類型的漏洞，只是偶然發(fā)現(xiàn)了ChaosDB。他說，這一發(fā)現(xiàn)向研究人員揭示了這種問題甚至在公有云中也有可能發(fā)生。

安全研究人員還將繼續(xù)發(fā)現(xiàn)AWS中的兩個(gè)關(guān)鍵漏洞。但研究人員表示，在過去一年中，大部分最嚴(yán)重的漏洞都是在Azure中發(fā)現(xiàn)的。對于一些安全研究人員和行業(yè)分析師來說，這一系列問題引發(fā)了對微軟公司保護(hù)其Azure服務(wù)的方法的質(zhì)疑。

獨(dú)立安全研究機(jī)構(gòu)Securosis公司首席執(zhí)行官兼長期安全行業(yè)分析師Rich Mogull說，“這很令人擔(dān)憂。這是一種模式。所以問題是：我們是否相信這是因?yàn)樗麄兪艿搅烁鼑?yán)格的審查?還是他們有更多的問題?可能兩者兼而有之?！?/p>

Orca公司首席技術(shù)官Yoav Alon表示，云安全服務(wù)商Orca Security公司的研究人員在Azure服務(wù)中發(fā)現(xiàn)了兩個(gè)跨租戶漏洞，這些問題強(qiáng)烈表明Azure公司無法承受研究人員施加的與AWS和GoogleCloud相同程度的壓力。

Alon說，“我認(rèn)為目前在云計(jì)算領(lǐng)域與其他供應(yīng)商相比，他們可能在安全性方面有些落后?！?/p>

微軟公司并沒有對行業(yè)媒體的報(bào)道發(fā)表評論。

該公司在一份聲明中表示，“安全性是Azure的基礎(chǔ)。客戶信任微軟公司跨物理數(shù)據(jù)中心、基礎(chǔ)設(shè)施和運(yùn)營提供的多層安全性，網(wǎng)絡(luò)安全專家積極監(jiān)控以保護(hù)企業(yè)的數(shù)據(jù)。我們通過與研究人員的漏洞賞金不斷地在內(nèi)部和外部參與發(fā)現(xiàn)并修復(fù)安全問題，我們積極分享更新和指導(dǎo)?！?/p>

其他研究人員和分析師表示，他們不認(rèn)為這些發(fā)現(xiàn)表明微軟公司在保護(hù)其Azure服務(wù)的方法上與AWS或谷歌云相比存在任何弱點(diǎn)。

獨(dú)立信息安全顧問Kevin Beaver表示，事實(shí)上，云計(jì)算基礎(chǔ)設(shè)施非常復(fù)雜，這樣的安全問題是不可避免的。Beaver 說，“我不認(rèn)為這有什么可怕的?！?/p>

一種新的漏洞

然而，許多安全專家都認(rèn)為，這些問題指向一種新型漏洞，客戶在很大程度上沒有考慮到他們對云計(jì)算風(fēng)險(xiǎn)的理解。畢竟，在發(fā)現(xiàn)這些風(fēng)險(xiǎn)之前，即使是安全研究人員也不認(rèn)為云平臺中的租戶隔離存在問題。

漏洞賞金平臺Bugcrowd 公司創(chuàng)始人兼首席技術(shù)官Casey Ellis說，“我認(rèn)為可以肯定的是，當(dāng)他們使用云計(jì)算提供商的云計(jì)算服務(wù)時(shí)，很多人會認(rèn)為這一切都已經(jīng)解決，如果發(fā)現(xiàn)不是，可能會有點(diǎn)驚訝。它確實(shí)違反了人們對云安全的基本假設(shè)。如果這個(gè)假設(shè)在起作用，那么可能需要重新解決這個(gè)假設(shè)?！?/p>

IDC公司安全與信任項(xiàng)目副總裁Frank Dickson表示，他認(rèn)為公有云提供商根本上來說非常安全，遠(yuǎn)比內(nèi)部部署數(shù)據(jù)中心環(huán)境更安全。

Dickson說，“這是否說明了一類新的漏洞?確實(shí)如此?！?/p>

與一兩年前相比，新冠疫情使企業(yè)加速向云計(jì)算的遷移，也使得更多的客戶現(xiàn)在嚴(yán)重依賴AWS、Azure和谷歌云。安全專家指出，這放大了被利用的跨租戶漏洞的潛在影響。

美國情報(bào)機(jī)構(gòu)前滲透測試人員、現(xiàn)為網(wǎng)絡(luò)安全服務(wù)商Deepwatch公司創(chuàng)始人兼副總裁Patrick Orzechowski說，“很多人對AWS、微軟或谷歌十分信任，并認(rèn)為他們可以確保基礎(chǔ)設(shè)施中沒有重大漏洞。”

根據(jù)研究機(jī)構(gòu)Synergy Research集團(tuán)發(fā)布的調(diào)查報(bào)告，今年第一季度，全球云計(jì)算基礎(chǔ)設(shè)施服務(wù)支出飆升至近530億美元，同比增長34%。Azure云平臺在本季度占據(jù)了22%的市場份額，落后于亞馬遜33%的市場份額，但仍遠(yuǎn)遠(yuǎn)領(lǐng)先于谷歌云10%的市場份額。

攻擊云平臺

2019年年中，針對CapitalOne公司的AWS云環(huán)境的網(wǎng)絡(luò)攻擊泄露了1.06億客戶的數(shù)據(jù)。這家美國最大的銀行之一的違規(guī)事件為云安全領(lǐng)域敲響了警鐘，顯示了當(dāng)網(wǎng)絡(luò)攻擊者以公有云為目標(biāo)時(shí)可能發(fā)生的情況。

但盡管情況很糟糕，這次違規(guī)只影響了一家公司。由于云計(jì)算的架構(gòu)，每家企業(yè)的數(shù)據(jù)都與其他公司保持隔離和不可見。破壞某個(gè)客戶環(huán)境的網(wǎng)絡(luò)攻擊者無法訪問其余客戶的環(huán)境。

客戶通常很信任AWS、微軟或谷歌這些云計(jì)算供應(yīng)商。

或者至少認(rèn)為他們不應(yīng)該這樣做。自從去年8月以來發(fā)現(xiàn)的一系列公有云漏洞表明，可能會發(fā)生前所未有的大規(guī)模攻擊：研究人員表示，如果此類攻擊獲得成功，其帶來的嚴(yán)重程度可能是CapitalOne公司泄漏事件的100或1000倍。

一些網(wǎng)絡(luò)安全專家表示，值得慶幸的是，到目前為止還沒有看到這種情況發(fā)生。但這也意味著這個(gè)問題也沒有得到足夠的關(guān)注，即使是在安全社區(qū)。

Alon說，“如果發(fā)生災(zāi)難性的事情，它將得到更多的關(guān)注，我們正在努力防止這種災(zāi)難性的情況發(fā)生?！?/p>

可以對軟件供應(yīng)鏈攻擊進(jìn)行類比，這些攻擊基于類似的理由令人恐懼：破壞單個(gè)應(yīng)用程序可能會導(dǎo)致許多最終客戶遭受損失或影響，例如2020年的SolarWinds網(wǎng)絡(luò)攻擊。公有云尚未出現(xiàn)SolarWinds這樣的攻擊，但研究人員的表示，如果網(wǎng)絡(luò)攻擊者首先發(fā)現(xiàn)了其中一個(gè)最近的漏洞，那么情況可能會有所不同。

令人關(guān)注的“關(guān)鍵”問題

云安全專家Scott Piper表示，在2021年8月至2022年1月期間，安全研究人員在主要云服務(wù)平臺上共發(fā)現(xiàn)了8個(gè) “嚴(yán)重”的漏洞，他在GitHub上編制了一份冗長的問題清單。Piper的統(tǒng)計(jì)表明，自從去年夏天以來，Azure云平臺已經(jīng)發(fā)現(xiàn)了六個(gè)關(guān)鍵漏洞，相比之下，亞馬遜的云平臺上有兩個(gè)關(guān)鍵漏洞，谷歌云平臺上沒有關(guān)鍵漏洞。

由于公有云漏洞通常被排除在常見漏洞和暴露系統(tǒng)之外，因此這些問題中的大多數(shù)都沒有被官方授予嚴(yán)重性評級。Piper根據(jù)自己的評估，將嚴(yán)重性評級歸因于迄今為止已披露的53個(gè)公有云問題，從“低”到“嚴(yán)重”不等。Wiz公司指出Piper的工作是這些公有云問題的權(quán)威文檔。

除了研究人員和供應(yīng)商本身之外，Piper可能和任何人一樣熟悉最近一連串的公有云漏洞。對他來說，最引人注目的是研究人員已經(jīng)反復(fù)證明了在Azure服務(wù)上實(shí)現(xiàn)跨租戶訪問的能力。

相比之下，由于這兩個(gè)最近發(fā)現(xiàn)的影響AWS的嚴(yán)重漏洞。Piper說，“如果他們深入挖掘，似乎能夠獲得跨租戶訪問，但通過Azure，他們實(shí)際上證明了這一點(diǎn)?！?/p>

在ChaosDB之后，下一個(gè)要發(fā)現(xiàn)的嚴(yán)重Azure漏洞是Azure容器即服務(wù)平臺上的跨賬戶接管漏洞。它是由Palo Alto Networks公司的Unit42小組的研究人員發(fā)現(xiàn)的，并被稱為“Azurescape”。

Palo Alto Networks公司首席安全研究員Yuval Avrahami在去年9月發(fā)表的一篇博客文章中寫道：“跨賬戶漏洞通常被描述為公有云的‘噩夢’場景。Azurescape證明它們比我們想象的更真實(shí)?！?/p>

從那以后，這方面的證據(jù)不斷積累。在接下來的幾個(gè)月中，在Azurescape錯(cuò)誤出現(xiàn)之后，又出現(xiàn)了Azure服務(wù)中的三個(gè)額外的跨租戶漏洞。Orca Security公司研究人員發(fā)現(xiàn)了影響Azure自動化服務(wù)的“AutoWarp”和影響AzureSynapse分析服務(wù)的“SynLapse”。Wiz公司研究人員表示，它影響了PostgreSQL Flexible Server的Azure數(shù)據(jù)庫。

由Wiz公司發(fā)現(xiàn)的另一個(gè)被稱為“OMIGOD”的嚴(yán)重Azure漏洞沒有啟用跨租戶訪問。但與其他漏洞相比，它對客戶來說是更直接的問題：該漏洞影響了客戶的一系列Azure服務(wù)，并在去年秋天被網(wǎng)絡(luò)攻擊者廣泛利用。相比之下，目前還不知道其他Azure最近的漏洞是否被利用。

你只有一份工作

在防止云中的跨租戶漏洞方面，云客戶的安全團(tuán)隊(duì)無能為力。Forrester公司首席分析師Lee Sustar表示，這些問題顯然超出了任何客戶的能力范圍，他們只能依賴于他們的云計(jì)算提供商。

所有主要的公有云平臺都使用某種形式的“責(zé)任共擔(dān)”模型，在供應(yīng)商和客戶之間劃分安全職責(zé)。根據(jù)該計(jì)劃，供應(yīng)商承諾保護(hù)底層基礎(chǔ)設(shè)施?？蛻糌?fù)責(zé)保護(hù)自己的數(shù)據(jù)和應(yīng)用程序。

Sustar指出，跨租戶漏洞無疑屬于責(zé)任共擔(dān)模型的供應(yīng)商一方。相比之下，對于過去的云計(jì)算違規(guī)事件，例如CapitalOne數(shù)據(jù)泄露事件，責(zé)任主要在客戶方面。

網(wǎng)絡(luò)安全服務(wù)商FireMon公司的云安全高級副總裁Mogull表示，確保租戶隔離在云計(jì)算服務(wù)提供商的安全責(zé)任中名列前茅。他說，“就像‘你只有一份工作’一樣，對于任何云計(jì)算提供商來說，沒有更大的風(fēng)險(xiǎn)或擔(dān)憂?！?/p>

盡管如此，盡管云平臺在安全性方面并不完美，但在許多情況下，它們?nèi)詫⒈仁褂脭?shù)據(jù)中心更安全。Mogull說，“我是云計(jì)算的堅(jiān)定支持者，我認(rèn)為每個(gè)人都應(yīng)該把他們能做的一切都遷移到云平臺上?！?/p>

Luttwak表示，對于Wiz公司來說，漏洞研究的目標(biāo)只是幫助客戶了解公有云中確實(shí)存在隔離問題。Luttwak公司曾是微軟公司以色列分公司研發(fā)部門的首席技術(shù)官，后來于2020年共同創(chuàng)立了這家云安全初創(chuàng)公司。

他說：“這是我們過去認(rèn)為不夠的。作為云計(jì)算提供商的用戶，我們確實(shí)需要問他們這樣的問題，‘什么是隔離模型?如何確保隔離?’”

網(wǎng)絡(luò)安全服務(wù)商JupiterOne公司的現(xiàn)場安全總監(jiān)Jasmine Henry表示，鑒于客戶數(shù)據(jù)隔離是安全云計(jì)算的“絕對核心原則”，業(yè)界現(xiàn)在才發(fā)現(xiàn)需要有關(guān)云計(jì)算提供商使用的隔離架構(gòu)的文檔。Henry表示說，云計(jì)算提供商必須找到一種方法來證明其隔離性，而不必付出太多代價(jià)，也不會造成進(jìn)一步的安全風(fēng)險(xiǎn)。

她說?！白鳛橐粋€(gè)行業(yè)，我認(rèn)為這些都是我們正在學(xué)習(xí)的東西?！?/p>

觀點(diǎn)問題

Luttwak表示，在Azure中發(fā)現(xiàn)的一系列跨租戶漏洞甚至可以被視為一件好事。他說，微軟公司鼓勵此類研究，并為發(fā)現(xiàn)Azure漏洞提供高達(dá)6萬美元的獎金。

Luttwak說，“存在漏洞的事實(shí)并不意味著整個(gè)平臺不安全。我不認(rèn)為可以聲稱Azure比其他產(chǎn)品更安全。這是一個(gè)很好的問題，但我認(rèn)為沒有人有數(shù)據(jù)可以這么說?！?/p>

2001年創(chuàng)立了咨詢公司Principle Logic公司的Beaver說，Azure中出現(xiàn)的漏洞似乎更像是微軟公司運(yùn)氣不佳并成為安全研究的目標(biāo)的問題。

他說，“這些事情隨時(shí)可能發(fā)生在任何企業(yè)身上?！?/p>

微軟公司的聲明中表示，其安全團(tuán)隊(duì)全天候工作，以識別和緩解潛在的安全問題。還通過協(xié)調(diào)漏洞披露與安全研究界合作，確保在公開披露潛在安全問題之前發(fā)現(xiàn)并緩解這些問題。

盡管如此，Wiz公司的研究團(tuán)隊(duì)和Orca Security公司的公有云漏洞研究團(tuán)隊(duì)都表示，他們已經(jīng)投入了類似的時(shí)間來尋找AWS、Azure和Google云中的問題，Azure中主要存在嚴(yán)重的跨租戶漏洞。

當(dāng)然，沒有人會認(rèn)為安全性被排除在Microsoft Azure服務(wù)的設(shè)計(jì)考慮之外。但多位云計(jì)算安全專家表示，根據(jù)目前的漏洞研究，似乎遺漏了某些允許用戶繞過租戶隔離的使用場景。

身份驗(yàn)證和授權(quán)問題是許多關(guān)鍵Azure漏洞的主題。威脅研究服務(wù)商Invisible Threat公司的所有者兼首席研究員Scott Walsh說：“這個(gè)系統(tǒng)承載了太多的信任。”

Walsh說，對于ChaosDB關(guān)鍵漏洞，微軟公司似乎在檢查授權(quán)的第一步，但隨后假設(shè)信任，這使得網(wǎng)絡(luò)攻擊者能夠在授權(quán)的初始階段之后獲得對其他租戶的訪問權(quán)限。

他說：“基本上看起來，如果有足夠的信任進(jìn)入這個(gè)云實(shí)例，那么你在這個(gè)實(shí)例中的每件事都有足夠的信任。在多租戶共享環(huán)境中，這還不夠好?！?/p>

Wiz研究人員報(bào)告說，通過利用CosmosDB服務(wù)中的一系列錯(cuò)誤配置，他們能夠不受限制地訪問網(wǎng)絡(luò)并獲得許多“秘密”(私鑰和證書)可用于管理數(shù)據(jù)庫服務(wù)。

Orca Security公司表示，SynLapse并非如此。該公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua在5月9日的一篇博客文章中寫道，Orca Security公司的研究人員于1月首次發(fā)現(xiàn)Azure Synapse服務(wù)中的漏洞，但在微軟公司在今年3月部署補(bǔ)丁之后，研究人員在4月仍然能夠繞過租戶分離的問題。

Shua在帖子中說，“我們認(rèn)為該架構(gòu)包含潛在的弱點(diǎn)，應(yīng)該通過更強(qiáng)大的租戶分離機(jī)制來解決這些問題?！?/p>

未受影響的客戶

Navisite公司首席執(zhí)行官M(fèi)ark Clayman表示，到目前為止，跨租戶Azure漏洞的發(fā)現(xiàn)并未引起客戶的重大擔(dān)憂，Navisite公司提供云戰(zhàn)略和遷移服務(wù)，并持有頂級Azure Expert MSP認(rèn)證。Clayman表示，在采用Azure方面，客戶并沒有暫停，至少部分原因是這些發(fā)現(xiàn)是相對較新的，到目前為止還沒有發(fā)生跨租戶違規(guī)行為。

他說，另一個(gè)因素可能是“更精通技術(shù)”的客戶更有可能專注于AWS或谷歌云。Clayman說，“我只是發(fā)現(xiàn)更傳統(tǒng)、更保守的公司更傾向于Azure?！?/p>

IDC公司的Dickson表示，他最近與之交談的客戶也沒有對Azure的關(guān)鍵漏洞表示任何擔(dān)憂。因此，客戶在這個(gè)問題上對微軟公司的壓力似乎很小。

盡管如此，F(xiàn)orrester公司的Sustar表示，盡管客戶過去可能認(rèn)為跨租戶問題是“低級風(fēng)險(xiǎn)”，但在他們可能會在了解最近的調(diào)查結(jié)果時(shí)重新評估這一點(diǎn)。

OrcaSecurity公司的Alon說，如今的微軟公司產(chǎn)生的資金數(shù)量和它做出的安全承諾類型之間似乎存在差異。

他說，“如果有一個(gè)平臺可以產(chǎn)生數(shù)十億美元的收入，并承諾安全，但交付不足，那么可以將其中的一些資金用于提高安全性。而微軟是世界上規(guī)模最大的公司之一。如果選擇這樣做，并且將其作為最高優(yōu)先級，他們就可以做出令人驚奇的事情。”

Walsh表示，解決潛在問題可能首先需要更好地處理這些Azure服務(wù)中的邊界。然后，微軟公司可能希望隨著時(shí)間的推移緩慢地、迭代地改變服務(wù)架構(gòu)，以帶來更加云原生的身份和訪問管理風(fēng)格。

他說，“這可能還會有一段時(shí)間會面臨困難?！?/p>

可信計(jì)算2.0?

Alon表示，相信微軟公司將能夠改善圍繞Azure服務(wù)漏洞的情況。他指出，微軟公司在扭轉(zhuǎn)安全方面有著良好的記錄，這可以追溯到2002年著名的“可信賴計(jì)算”備忘錄。在給微軟員工的內(nèi)部備忘錄中，比爾·蓋茨承諾將微軟產(chǎn)品的安全放在更高的優(yōu)先級，導(dǎo)致多年來在提高安全性方面取得了很大進(jìn)步。

Alon表示，微軟公司現(xiàn)在可能正在接近與云安全類似的時(shí)刻。他補(bǔ)充說，懷疑該公司已經(jīng)在內(nèi)部進(jìn)行了更改以阻止未來的Azure安全問題。

Alon說，“但改變需要時(shí)間。我們將在接下來的幾個(gè)月和幾年內(nèi)看到更多的改變?！?/p>

Mogull表示，近年來，微軟公司通過一系列非常積極的舉措證明了其對網(wǎng)絡(luò)安全的承諾，這也令人鼓舞。

例如，微軟公司近年來在打擊“全球民族國家級僵尸網(wǎng)絡(luò)”方面值得稱贊。在今年4月，微軟公司披露了其在摧毀ZLoader僵尸網(wǎng)絡(luò)中的作用，這是一個(gè)由網(wǎng)絡(luò)犯罪分子用來執(zhí)行包括勒索軟件在內(nèi)的攻擊的受感染計(jì)算機(jī)網(wǎng)絡(luò)。

Mogull表示，總體而言，它們具有出色的安全性。但談到Azure的安全性，他說，“我只是希望它變得更好。而且我認(rèn)為微軟公司可以做到?！?/p>