crazybrick 2015-07-14
各行业的企业、个人、开发者希望以低成本的方式实现IT运维外包,通过互联网云服务器实现快速数据分享,充分享受云计算带来的便利,这正是云的魅力所在。
对于快速增长的云应用,在享受随时、随地、随需的高效云服务的同时,企业和个人用户同样面临一个不容忽视的问题:企业重要数据和个人隐私数据保存在云平台的数据库中,如果这些数据资产丢失将会造成巨大损失。
一、云平台下暴力破解攻击现状
暴力破解攻击是云用户面临的最主要威胁之一,以某云平台防护的日常安全运营记录为例,每周黑客对云租户的暴力破解数量高达数亿次。下图是云租户遭到暴力破解攻击的趋势图:
▲2014年6-7月主机暴力破解趋势图
我们可以看出,从6月初到7月底,某云平台的租户被暴力破解攻击的数量平均每周在5亿次。在这5亿次攻击中,攻击目标分布如下(7.21-7.27数据):
二、数据库暴力破解攻击原因及途径分析
随着应用系统使用时间的增加,数据库里已经存储了大量的重要数据,以数据库为目标进行暴力破解的攻击占到了近40%。数据库的暴力破解是指黑客通过字典等方式对数据库的超管账号密码进行猜测的过程。管理员账号和密码是连接数据库的钥匙,一旦密码被成功“暴破”,数据库的安全也将不复存在。
数据库被暴力破解成功的主要原因是由于云租户尤其是很多企业用户,在雇佣软件厂商完成web应用开发后,没有专业技术了解数据库中有哪些运维时留下的账号,暴力破解尝试的不仅是管理员密码和运维账户,还有很多数据库自身存在的缺省账户,以Oracle为例,各版本缺省口令加在一起能达到700多个,这些账户都有可能成为被暴力破解的目标。
再有因为数据库中账户口令是加密存储,而且每个数据库的加密算法不同,如果不借助专业的工具如安华金和数据库漏扫,云租户自身也很难发现数据库中的弱口令,这就给防止数据库的暴力破解带来了难度。
从数据库被暴力破解的途径上分析,每个云服务器有内网和外网两个IP,一个云租户购买的多个云服务器之间可以模拟内网环境(如:vLan)互相访问,外网IP可以通过互联网进行访问。一般情况下,应用服务器通过访问内网IP连接数据库服务器,数据库维护是通过外网IP从互联网进行运维操作。自动化的暴力破解工具一个途径是直接扫描到外网IP地址,发现某个缺省端口在提供数据库服务,之后通过对账户口令进行猜测。另外一个途径就是先攻击应用服务器,之后以应用为跳板扫描数据库账户口令。云平台内网环境下,云租户之间的网络访问也有可能发生口令猜测,但是相信云平台自身的安管平台和网络域安全划分机制已经堵住这个非法访问途径。
三、数据库防止被暴力破解的防御手段
云租户想防止数据库的被暴力破解,安华金和数据库安全专家有三个建议:一是增加数据库账户的密码强度,二是修改数据库的登录失败处理方式,三是使用数据库防火墙实现数据库的主动防御。
当然,某些类型数据库的缺省账户也是需要进行锁定或增加账户的密码强度。
如下表所示密码位数与自动化工具暴力破解时间关系: