各行業的企業、個人、開發者希望以低成本的方式實現IT運維外包,通過互聯網云服務器實現快速數據分享,充分享受云計算帶來的便利,這正是云的魅力所在。
對于快速增長的云應用,在享受隨時、隨地、隨需的高效云服務的同時,企業和個人用戶同樣面臨一個不容忽視的問題:企業重要數據和個人隱私數據保存在云平臺的數據庫中,如果這些數據資產丟失將會造成巨大損失。
一、云平臺下暴力破解攻擊現狀
暴力破解攻擊是云用戶面臨的最主要威脅之一,以某云平臺防護的日常安全運營記錄為例,每周黑客對云租戶的暴力破解數量高達數億次。下圖是云租戶遭到暴力破解攻擊的趨勢圖:
▲2014年6-7月主機暴力破解趨勢圖
我們可以看出,從6月初到7月底,某云平臺的租戶被暴力破解攻擊的數量平均每周在5億次。在這5億次攻擊中,攻擊目標分布如下(7.21-7.27數據):
二、數據庫暴力破解攻擊原因及途徑分析
隨著應用系統使用時間的增加,數據庫里已經存儲了大量的重要數據,以數據庫為目標進行暴力破解的攻擊占到了近40%。數據庫的暴力破解是指黑客通過字典等方式對數據庫的超管賬號密碼進行猜測的過程。管理員賬號和密碼是連接數據庫的鑰匙,一旦密碼被成功“暴破”,數據庫的安全也將不復存在。
數據庫被暴力破解成功的主要原因是由于云租戶尤其是很多企業用戶,在雇傭軟件廠商完成web應用開發后,沒有專業技術了解數據庫中有哪些運維時留下的賬號,暴力破解嘗試的不僅是管理員密碼和運維賬戶,還有很多數據庫自身存在的缺省賬戶,以Oracle為例,各版本缺省口令加在一起能達到700多個,這些賬戶都有可能成為被暴力破解的目標。
再有因為數據庫中賬戶口令是加密存儲,而且每個數據庫的加密算法不同,如果不借助專業的工具如安華金和數據庫漏掃,云租戶自身也很難發現數據庫中的弱口令,這就給防止數據庫的暴力破解帶來了難度。
從數據庫被暴力破解的途徑上分析,每個云服務器有內網和外網兩個IP,一個云租戶購買的多個云服務器之間可以模擬內網環境(如:vLan)互相訪問,外網IP可以通過互聯網進行訪問。一般情況下,應用服務器通過訪問內網IP連接數據庫服務器,數據庫維護是通過外網IP從互聯網進行運維操作。自動化的暴力破解工具一個途徑是直接掃描到外網IP地址,發現某個缺省端口在提供數據庫服務,之后通過對賬戶口令進行猜測。另外一個途徑就是先攻擊應用服務器,之后以應用為跳板掃描數據庫賬戶口令。云平臺內網環境下,云租戶之間的網絡訪問也有可能發生口令猜測,但是相信云平臺自身的安管平臺和網絡域安全劃分機制已經堵住這個非法訪問途徑。
三、數據庫防止被暴力破解的防御手段
云租戶想防止數據庫的被暴力破解,安華金和數據庫安全專家有三個建議:一是增加數據庫賬戶的密碼強度,二是修改數據庫的登錄失敗處理方式,三是使用數據庫防火墻實現數據庫的主動防御。
當然,某些類型數據庫的缺省賬戶也是需要進行鎖定或增加賬戶的密碼強度。
如下表所示密碼位數與自動化工具暴力破解時間關系:
對于數據庫的口令暴力破解問題,安華金和的數據庫漏掃可以幫助云租戶找到弱口令和缺省賬戶口令,建議口令修改為8位以上,如果核心數據庫建議口令修改為10位以上,最好是帶大小寫字母、數字和特殊字符。安華金和的數據庫漏掃還可以發現數據庫的登錄失敗處理安全設置,如最大登陸錯誤次數和登陸失敗后的鎖定時間,按修復建議進行人工加固。
通過互聯網IP和被攻陷的應用服務器IP采用自動化暴力破解工具去猜測數據庫賬戶,即使是猜測不成功,這種非法的登錄嘗試也會消耗數據庫資源,嚴重的時候可能導致數據庫宕機。因此,安華金和數據庫安全專家建議在數據庫之前采用數據庫防火墻進行主動防御。可以通過數據庫防火墻實現的安全防護手段有:只允許合法運維和應用IP地址才能訪問數據庫,其他的IP地址對數據庫訪問一律禁用;使用數據庫防火墻的串聯代理方式,隱藏原有數據庫的IP地址和端口號,使暴力破解工具無法知道真實數據庫的位置;通過數據庫防火墻自動化的阻斷。
京公網安備 11010502049343號