各行業(yè)的企業(yè)����、個人、開發(fā)者希望以低成本的方式實現(xiàn)IT運維外包����,通過互聯(lián)網(wǎng)云服務(wù)器實現(xiàn)快速數(shù)據(jù)分享,充分享受云計算帶來的便利��,這正是云的魅力所在�����。
對于快速增長的云應(yīng)用,在享受隨時�����、隨地��、隨需的高效云服務(wù)的同時��,企業(yè)和個人用戶同樣面臨一個不容忽視的問題:企業(yè)重要數(shù)據(jù)和個人隱私數(shù)據(jù)保存在云平臺的數(shù)據(jù)庫中�����,如果這些數(shù)據(jù)資產(chǎn)丟失將會造成巨大損失���。
一���、云平臺下暴力破解攻擊現(xiàn)狀
暴力破解攻擊是云用戶面臨的最主要威脅之一,以某云平臺防護的日常安全運營記錄為例���,每周黑客對云租戶的暴力破解數(shù)量高達(dá)數(shù)億次����。下圖是云租戶遭到暴力破解攻擊的趨勢圖: 攻擊的趨勢圖:
2014年6-7月主機暴力破解趨勢圖
我們可以看出,從6月初到7月底�����,某云平臺的租戶被暴力破解攻擊的數(shù)量平均每周在5億次�。在這5億次攻擊中�����,攻擊目標(biāo)分布如下(7.21-7.27數(shù)據(jù)):
圖
二�����、數(shù)據(jù)庫暴力破解攻擊原因及途徑分析
隨著應(yīng)用系統(tǒng)使用時間的增加�����,數(shù)據(jù)庫里已經(jīng)存儲了大量的重要數(shù)據(jù)�,以數(shù)據(jù)庫為目標(biāo)進(jìn)行暴力破解的攻擊占到了近40%。數(shù)據(jù)庫的暴力破解是指黑客通過
字典等方式對數(shù)據(jù)庫的超管賬號密碼進(jìn)行猜測的過程��。管理員賬號和密碼是連接數(shù)據(jù)庫的鑰匙���,一旦密碼被成功“暴破”�,數(shù)據(jù)庫的安全也將不復(fù)存在。
數(shù)據(jù)庫被暴力破解成功的主要原因是由于云租戶尤其是很多企業(yè)用戶��,在雇傭軟件廠商完成web應(yīng)用開發(fā)后�,沒有專業(yè)技術(shù)了解數(shù)據(jù)庫中有哪些運維時留下
的賬號,暴力破解嘗試的不僅是管理員密碼和運維賬戶���,還有很多數(shù)據(jù)庫自身存在的缺省賬戶�,以O(shè)racle為例����,各版本缺省口令加在一起能達(dá)到700多個,
這些賬戶都有可能成為被暴力破解的目標(biāo)����。
再有因為數(shù)據(jù)庫中賬戶口令是加密存儲,而且每個數(shù)據(jù)庫的加密算法不同�����,如果不借助專業(yè)的工具如安華金和數(shù)據(jù)庫漏掃��,云租戶自身也很難發(fā)現(xiàn)數(shù)據(jù)庫中的弱口令���,這就給防止數(shù)據(jù)庫的暴力破解帶來了難度����。
從數(shù)據(jù)庫被暴力破解的途徑上分析,每個云服務(wù)器有內(nèi)網(wǎng)和外網(wǎng)兩個IP���,一個云租戶購買的多個云服務(wù)器之間可以模擬內(nèi)網(wǎng)環(huán)境(如:vLan)互相訪
問���,外網(wǎng)IP可以通過互聯(lián)網(wǎng)進(jìn)行訪問��。一般情況下����,應(yīng)用服務(wù)器通過訪問內(nèi)網(wǎng)IP連接數(shù)據(jù)庫服務(wù)器,數(shù)據(jù)庫維護是通過外網(wǎng)IP從互聯(lián)網(wǎng)進(jìn)行運維操作��。自動化
的暴力破解工具一個途徑是直接掃描到外網(wǎng)IP地址�,發(fā)現(xiàn)某個缺省端口在提供數(shù)據(jù)庫服務(wù),之后通過對賬戶口令進(jìn)行猜測���。另外一個途徑就是先攻擊應(yīng)用服務(wù)器�����,
之后以應(yīng)用為跳板掃描數(shù)據(jù)庫賬戶口令��。云平臺內(nèi)網(wǎng)環(huán)境下�,云租戶之間的網(wǎng)絡(luò)訪問也有可能發(fā)生口令猜測,但是相信云平臺自身的安管平臺和網(wǎng)絡(luò)域安全劃分機制
已經(jīng)堵住這個非法訪問途徑��。
三����、數(shù)據(jù)庫防止被暴力破解的防御手段
云租戶想防止數(shù)據(jù)庫的被暴力破解,安華金和數(shù)據(jù)庫安全專家有三個建議:一是增加數(shù)據(jù)庫賬戶的密碼強度�����,二是修改數(shù)據(jù)庫的登錄失敗處理方式�����,三是使用數(shù)據(jù)庫防火墻實現(xiàn)數(shù)據(jù)庫的主動防御���。
當(dāng)然���,某些類型數(shù)據(jù)庫的缺省賬戶也是需要進(jìn)行鎖定或增加賬戶的密碼強度。
如下表所示密碼位數(shù)與自動化工具暴力破解時間關(guān)系:
| 賬戶密碼長度 | 破解時間 |
| 3位 | 3-5秒 |
| 4位 | 4分鐘 |
| 5位 | 大約1天 |
對于數(shù)據(jù)庫的口令暴力破解問題�,安華金和的數(shù)據(jù)庫漏掃可以幫助云租戶找到弱口令和缺省賬戶口令,建議口令修改為8位以上,如果核心數(shù)據(jù)庫建議口令修
改為10位以上�����,最好是帶大小寫字母�、數(shù)字和特殊字符。安華金和的數(shù)據(jù)庫漏掃還可以發(fā)現(xiàn)數(shù)據(jù)庫的登錄失敗處理安全設(shè)置����,如最大登陸錯誤次數(shù)和登陸失敗后的
鎖定時間,按修復(fù)建議進(jìn)行人工加固���。
通過互聯(lián)網(wǎng)IP和被攻陷的應(yīng)用服務(wù)器IP采用自動化暴力破解工具去猜測數(shù)據(jù)庫賬戶�,即使是猜測不成功���,這種非法的登錄嘗試也會消耗數(shù)據(jù)庫資源,嚴(yán)重
的時候可能導(dǎo)致數(shù)據(jù)庫宕機�。因此,安華金和數(shù)據(jù)庫安全專家建議在數(shù)據(jù)庫之前采用數(shù)據(jù)庫防火墻進(jìn)行主動防御�。可以通過數(shù)據(jù)庫防火墻實現(xiàn)的安全防護手段有:只
允許合法運維和應(yīng)用IP地址才能訪問數(shù)據(jù)庫��,其他的IP地址對數(shù)據(jù)庫訪問一律禁用��;使用數(shù)據(jù)庫防火墻的串聯(lián)代理方式,隱藏原有數(shù)據(jù)庫的IP地址和端口號�,
使暴力破解工具無法知道真實數(shù)據(jù)庫的位置;通過數(shù)據(jù)庫防火墻自動化的阻斷����。
產(chǎn)品咨詢:4000 258 365 
