各行业的企业、个人、开发者希望以低成本的方式实现IT运维外包,通过互联网云服务器实现快速数据分享,充分享受云计算带来的便利,这正是云的魅力所在。

对于快速增长的云应用,在享受随时、随地、随需的高效云服务的同时,企业和个人用户同样面临一个不容忽视的问题:企业重要数据和个人隐私数据保存在云平台的数据库中,如果这些数据资产丢失将会造成巨大损失。

一、云平台下暴力破解攻击现状

暴力破解攻击是云用户面临的最主要威胁之一,以某云平台防护的日常安全运营记录为例,每周黑客对云租户的暴力破解数量高达数亿次。下图是云租户遭到暴力破解攻击的趋势图:

72

                                ▲2014年6-7月主机暴力破解趋势图

我们可以看出,从6月初到7月底,某云平台的租户被暴力破解攻击的数量平均每周在5亿次。在这5亿次攻击中,攻击目标分布如下(7.21-7.27数据):

54

二、数据库暴力破解攻击原因及途径分析

随着应用系统使用时间的增加,数据库里已经存储了大量的重要数据,以数据库为目标进行暴力破解的攻击占到了近40%。数据库的暴力破解是指黑客通过字典等方式对数据库的超管账号密码进行猜测的过程。管理员账号和密码是连接数据库的钥匙,一旦密码被成功“暴破”,数据库的安全也将不复存在。

数据库被暴力破解成功的主要原因是由于云租户尤其是很多企业用户,在雇佣软件厂商完成web应用开发后,没有专业技术了解数据库中有哪些运维时留下的账号,暴力破解尝试的不仅是管理员密码和运维账户,还有很多数据库自身存在的缺省账户,以Oracle为例,各版本缺省口令加在一起能达到700多个,这些账户都有可能成为被暴力破解的目标。

再有因为数据库中账户口令是加密存储,而且每个数据库的加密算法不同,如果不借助专业的工具如安华金和数据库漏扫,云租户自身也很难发现数据库中的弱口令,这就给防止数据库的暴力破解带来了难度。

从数据库被暴力破解的途径上分析,每个云服务器有内网和外网两个IP,一个云租户购买的多个云服务器之间可以模拟内网环境(如:vLan)互相访问,外网IP可以通过互联网进行访问。一般情况下,应用服务器通过访问内网IP连接数据库服务器,数据库维护是通过外网IP从互联网进行运维操作。自动化的暴力破解工具一个途径是直接扫描到外网IP地址,发现某个缺省端口在提供数据库服务,之后通过对账户口令进行猜测。另外一个途径就是先攻击应用服务器,之后以应用为跳板扫描数据库账户口令。云平台内网环境下,云租户之间的网络访问也有可能发生口令猜测,但是相信云平台自身的安管平台和网络域安全划分机制已经堵住这个非法访问途径。

三、数据库防止被暴力破解的防御手段

云租户想防止数据库的被暴力破解,安华金和数据库安全专家有三个建议:一是增加数据库账户的密码强度,二是修改数据库的登录失败处理方式,三是使用数据库防火墙实现数据库的主动防御。

当然,某些类型数据库的缺省账户也是需要进行锁定或增加账户的密码强度。

如下表所示密码位数与自动化工具暴力破解时间关系:

26

对于数据库的口令暴力破解问题,安华金和的数据库漏扫可以帮助云租户找到弱口令和缺省账户口令,建议口令修改为8位以上,如果核心数据库建议口令修改为10位以上,最好是带大小写字母、数字和特殊字符。安华金和的数据库漏扫还可以发现数据库的登录失败处理安全设置,如最大登陆错误次数和登陆失败后的锁定时间,按修复建议进行人工加固。

通过互联网IP和被攻陷的应用服务器IP采用自动化暴力破解工具去猜测数据库账户,即使是猜测不成功,这种非法的登录尝试也会消耗数据库资源,严重的时候可能导致数据库宕机。因此,安华金和数据库安全专家建议在数据库之前采用数据库防火墙进行主动防御。可以通过数据库防火墙实现的安全防护手段有:只允许合法运维和应用IP地址才能访问数据库,其他的IP地址对数据库访问一律禁用;使用数据库防火墙的串联代理方式,隐藏原有数据库的IP地址和端口号,使暴力破解工具无法知道真实数据库的位置;通过数据库防火墙自动化的阻断。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-30 10:01:53
云资讯 VMware与谷歌达成新合作 为企业客户向云平台迁移提供便利
谷歌刚刚宣布了与 VMware 达成新的合作,以帮助更多企业顺利迁移到云端。今日的公告称,两家公司将让企业更轻松地 Google Cloud 上运行 VMware 。具体说来是,谷歌云平台现 <详情>
2019-07-25 13:55:27
云资讯 史上首次现场直播下线物理机,三维家全面上云
7月25日在阿里云峰会·上海现场,国内最大的家装设计软件服务商三维家现场下线核心业务最后一台物理机,实现全面上云。 <详情>
2019-07-24 10:50:00
云资讯 华云数据让云计算成为制造强国战略的重要推动力
2019年7月23日,华云数据南区制造业数字化转型分享会在广州成功召开。本次分享会以“合作共赢 筑梦未来”为主题,现场汇聚来自VMware、必诺科技等企业为代表的合作伙伴以及 <详情>
2019-07-22 17:22:21
云资讯 中建信息连续三年获得微软“Top CSP Indirect Provider”大奖
Microsoft Azure 方面,双方一直致力于为中国企业用户和合作伙伴提供公有云平台服务,中建信息为此组建了专业的云技术专家团队,能够有效帮助企业客户实现基于 Microsoft A <详情>