CloudFlare敲響云安全連鎖威脅警鐘

趙明

近期，CloudFlare云服務(wù)商“泄漏用戶數(shù)據(jù)”事件受到各方關(guān)注，因其危害嚴(yán)重性堪比“心臟出血”漏洞事件，安全界甚至將之稱為“云出血”漏洞事件。據(jù)了解，此次漏洞影響時(shí)間長達(dá)數(shù)月，受影響的網(wǎng)站預(yù)計(jì)至少200萬，優(yōu)步（Uber）、OKCupid、Fibit 等知名網(wǎng)站赫然在列。亞信安全云安全產(chǎn)品總監(jiān)朱立分析認(rèn)為，這只是云安全威脅連鎖反應(yīng)的一次典型案例，不排除日后還會(huì)有類似甚至更加嚴(yán)重的事件發(fā)生。

云出血漏洞是由于CloudFlare的舊Ragel解析程序出現(xiàn)了Bug，導(dǎo)致HTML解析程序出現(xiàn)異常，使Cookie、密碼、密鑰和其他用戶數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上；而更嚴(yán)重的是，數(shù)據(jù)以網(wǎng)頁為載體，很容易被搜索引擎或者爬蟲抓取并緩存，即便CloudFlare已經(jīng)修復(fù)了這個(gè)Bug，如果搜索引擎或者爬蟲不主動(dòng)刪除這些緩存數(shù)據(jù)，仍然會(huì)有大量的用戶數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。

朱立認(rèn)為，這可能是云安全威脅首次產(chǎn)生大規(guī)模連鎖反應(yīng)，云計(jì)算的服務(wù)化特性是重要原因之一。眾所周知，云計(jì)算就像“水電氣”服務(wù)一樣可以按需購買，這種服務(wù)化的模式使得越來越多的IT功能被分離出來，作為一種服務(wù)提供給第三方。比如此次事件的“主角”CloudFlare提供的CDN和安全服務(wù)，還有更多廠商提供的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、API、數(shù)據(jù)庫等服務(wù)。這種共享服務(wù)的模式將各種第三方服務(wù)公司與大量的用戶錯(cuò)綜復(fù)雜地聯(lián)系到了一起，這樣的結(jié)果就是如果一個(gè)服務(wù)商出現(xiàn)了漏洞，影響到的可能不止其本身，還會(huì)給大量的生態(tài)伙伴和最終用戶帶來連鎖威脅。

這種連鎖威脅因云計(jì)算規(guī)模化、集中化的特性，又會(huì)進(jìn)一步被放大。一方面，云計(jì)算覆蓋的用戶量規(guī)模巨大，“云出血”漏洞受影響的網(wǎng)站已經(jīng)至少200萬之多，再聯(lián)系到每個(gè)網(wǎng)站又將服務(wù)眾多的用戶，最終影響的用戶量極為巨大。另一方面，云計(jì)算會(huì)像商超那樣趨于集中化，會(huì)將越來越多的小規(guī)模云計(jì)算服務(wù)商淘汰，形成巨型云服務(wù)公司，數(shù)據(jù)更加集中，可能會(huì)被不法分子全面竊取。

從云技術(shù)特性來講，云計(jì)算在打破計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等各種功能邊界，讓IT可以在一個(gè)中心統(tǒng)一管理的同時(shí)，也給網(wǎng)絡(luò)威脅的流竄帶來了便利。以往硬件、應(yīng)用、存儲(chǔ)等隔離性比較強(qiáng)，可以給那些流入企業(yè)IT網(wǎng)絡(luò)的威脅造成一定的“隔離墻”功效，將威脅隔離在一定的范圍之內(nèi)，而在“無墻”的云中，黑客“通關(guān)”的可能性更大了。以開源云平臺(tái)OpenStack為例，多租戶通過某種Hypervisor共享物理主機(jī)，在一個(gè)共享的二層網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)隔，一旦攻擊者通過某個(gè)漏洞進(jìn)入計(jì)算節(jié)點(diǎn)，那么這些共享虛擬主機(jī)甚至整個(gè)集群被拿下都是可能的。

雖然此次“云出血”事件屬于數(shù)據(jù)由內(nèi)向外“主動(dòng)”流出，但也不排除未來黑客會(huì)利用云連鎖反應(yīng)主動(dòng)出擊。亞信安全認(rèn)為，應(yīng)對(duì)云安全連鎖威脅首要的就是實(shí)現(xiàn)多點(diǎn)聯(lián)動(dòng)防御。在過去的安全體系中，每個(gè)安全節(jié)點(diǎn)各自為戰(zhàn)，沒有實(shí)質(zhì)性的聯(lián)動(dòng)。而如果這些安全環(huán)節(jié)能實(shí)現(xiàn)信息共享、協(xié)同作戰(zhàn)，則會(huì)帶來更好的防御效果。例如FireWall、IDS/IPS、WAF、UTM、SIEM（安全信息和事件管理）之間有機(jī)聯(lián)動(dòng)，可以更加準(zhǔn)確地鎖定入侵者。

亞信安全作為云與大數(shù)據(jù)安全的技術(shù)領(lǐng)導(dǎo)者，在網(wǎng)絡(luò)安全、云安全、終端和移動(dòng)安全、APT治理、身份與訪問管理、大數(shù)據(jù)安全、安全運(yùn)營與審計(jì)、安全管理服務(wù)等領(lǐng)域擁有全球領(lǐng)先技術(shù)。

亞信安全不但能夠做到各種安全防御產(chǎn)品之間的聯(lián)動(dòng)、全球威脅情報(bào)信息實(shí)時(shí)共享，還擁有極廣泛的合作生態(tài)。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security系列云安全產(chǎn)品，不但支持VMware、思杰、華為等私有云，還支持AWS、阿里云、Azure等公有云平臺(tái)，再加上亞信安全先進(jìn)的終端和移動(dòng)安全、APT治理等系列產(chǎn)品與方案，能夠給企業(yè)、云服務(wù)商等各種云計(jì)算服務(wù)的使用和提供者以可靠的安全防護(hù)。