一、攻擊事件背景

最近，部分黑客組織針對幾款特定產品展開了勒索攻擊。截止到上周，已有至少34000多臺MongoDB數據庫被黑客組織入侵，數據庫中的數據被黑客擦除并索要贖金。隨后，在2017年1月18日當天，又有數百臺ElasticSearch服務器受到了勒索攻擊，服務器中的數據被擦除。安全研究人員Niall Merrigan表示，截止到目前，受攻擊的ElasticSearch服務器已經超過了2711臺。緊隨上述兩次攻擊事件，目前已經有黑客將目標瞄準了Hadoop集群。這些勒索攻擊的攻擊模式都較為相似，在整個攻擊過程中并沒有使用任何勒索軟件，也沒有涉及常規漏洞，而是利用相關產品的不安全配置，使攻擊者有機可乘，輕而易舉地對相關數據進行操作。

二、企業如何一步步將威脅擋在門外呢？

正如在本文我們所描述的那樣，在有經驗的攻擊者手里，具有自我傳播功能的勒索軟件將可能給企業的業務帶來致命損失，或成為受害者的一場噩夢。我們所倡導的“縱深防御”，不僅僅是一個概念，它決定了在勒索事件等攻擊場景中，企業到底是能把危機擋在門外，還是引狼入室，讓惡意軟件對業務造成實際損失。

接下來，我們針對企業用戶在公共云搭建Hadoop的安全漏洞問題，介紹幾種防護手段。

1、端口開放最小化

Hadoop默認情況開放了很多端口提供WebUI，易出現安全漏洞； 如：

HDFS NameNode 默認端口 50070 SecondNameNode 默認端口 50090 DataNode 默認端口 50075 Backup/Checkpoint node 默認端口 50105- YARN(JobTracker) ResourceManager 默認端口8088 JobTracker 默認端口 50030 TaskTracker 默認端口 50060 Hue 默認端口 8080；

推薦方案：按照最小化原則，開放業務相關的少量端口，這樣大大降低了被攻擊的可能性；

2、身份認證鑒權

Hadoop訪問認證過于簡單，比如DataNode 默認端口50075開放的話，攻擊者可以通過hdsf提供的restful api對hdfs存儲數據進行操作。

推薦方案：檢查請求 Request 發送者的真實身份，正確驗證接收到的消息在途中是否被篡改，認證使用消息簽名機制，可以保證消息在傳輸過程中的完整性 Integrity 和真實性 Authenticity，建議采用的消息簽名算法HMAC-SHA1。

3、權限細粒度管理

Hadoop無法控制用戶提交和運行作業的操作，及功能操作；

推薦方案：按照最小化原則，通過外圍系統為不同的角色、操作等分配相應的權限，加強用戶與系統的訪問控制及作業訪問控制；

4、增加日志審計

Hadoop作為軟件級產品，黑客一旦攻擊進來，無法及時發現并加以控制；

推薦方案：提供精準的、細粒度的數據訪問操作記錄，并長期保存。對于數據操作記錄來說，收集服務棧上的所有操作記錄，從上層table/column級別的數據訪問日志，一直到底層分布式文件系統上的數據操作日志。最底層分布式文件系統上處理的每一次數據訪問請求，也都能追溯到是最上層的哪個項目空間中的哪個用戶的哪個作業發起的數據訪問。有了服務棧上的各層操作審計之后，即使是內部攻擊者（工程師或滲透到內部系統中的黑客）想從內部（繞過服務）直接訪問底層分布式文件系統上的用戶數據的話，也一定是可以從操作日志中被發現的。所以，通過數據訪問審計，用戶就可以準確的知道是否存在未授權的數據訪問。

5、沙箱隔離

Hadoop在安全方面并沒有實現進程級的權限控制；

推薦方案：為了確保不同用戶作業在運行時互不干擾，將用戶作業的進程運行在Container沙箱中。如果用戶作業含有Java代碼（比如UDF），那么Container沙箱中的進程啟動JVM時，設置嚴格的Java 沙箱策略以限制UDF的運行時權限。

三、總結

勒索軟件并不是新鮮事物。但是其最近手段更加老練、傳播方式更加隱蔽，表明其越發傾向于以意想不到的全新方式盤剝在線運行的個人與單位。網絡攻擊如此肆虐，如果企業繼續在公共云使用Hadoop進行生產作業的話，需要投入更多的安全維護成本，因為Hadoop并不適合在公共云搭建PAAS平臺，提供企業級服務；比如 Hadoop產品設計之初就是使用在內網，默認開啟過多端口，超級管理員權限，數據資產不隔離，這樣為企業帶來更多的安全維護成本。

如果企業需要在公共云做大數據分析，我們推薦大家使用阿里云數加MaxCompute。——這個他們加了個鏈接，但鏈接不對，可以換成這個吧：MaxCompute產品地址：https://www.aliyun.com/product/odps

MaxCompute設計之初就重點考慮了安全問題，在公共云提供企業級/金融級服務，安全特性有以下幾個方面；

1、MaxCompute認證采用業界標準的API認證協議來實現，如HmacSHA1。MaxCompute還提供HTTP和HTTPS兩種的EndPoint以滿足用戶對認證安全的不同要求。

2. MaxCompute平臺并沒有超級管理員的角色，所以MaxCompute的開發、測試、運維同學都是沒有權限看到用戶數據的。

3、MaxCompute產品面向的是企業級用戶，所以提供了豐富的項目空間內的用戶管理及授權功能。 MaxCompute設計之初就是要滿足數據分享（或數據交換）的場景。所以，只要有授權，用戶就可以非常方便的進行跨項目空間的數據訪問。

4. MaxCompute支持用戶提交各種類型的作業（如SQL/XLib/MR）。為了確保不同用戶作業在運行時互不干擾，MaxCompute將用戶作業在運行時隔離。

5. MaxCompute作業運行時使用最小權限，最小權限原則是系統安全和容錯設計的一個基本指導原則，即讓每個任務在運行時使用剛好滿足需要（不多也不少）的權限來執行。

6. MaxCompute還提供精準的、細粒度的數據訪問操作記錄，并會長期保存。通過數據訪問審計，用戶就可以準確的知道他在MaxCompute上的數據是否存在未授權的數據訪問。

7. 除了不同層面的防御機制之外，MaxCompute產品還會提供一套安全監控系統，用于監控用戶作業及用戶數據的安全活動，如AccessKey濫用，項目空間安全配置不當，用戶代碼運行時觸犯安全策略，以及用戶數據是否遭受異常訪問等。

安全攻擊防不勝防，MaxCompute可以幫助企業做好縱深防御，保護好DT時代的數據資產。