許多安全研究人員一致認(rèn)為,跨租戶漏洞是一種客戶需要注意的新型風(fēng)險��,這種風(fēng)險不應(yīng)該發(fā)生在云中�。
許多安全研究人員一致認(rèn)為,跨租戶漏洞是一種客戶需要注意的新型風(fēng)險�,這種風(fēng)險不應(yīng)該發(fā)生在云中。
在過去的一年里���,Azure發(fā)現(xiàn)了最多的安全漏洞�����,也是最嚴(yán)重的漏洞���。有史以來最大的黑客攻擊事件之一發(fā)生在去年夏天,幾乎沒有人注意到����。
2021年8月,黑客侵入了微軟Azure公有云平臺上廣泛使用的數(shù)據(jù)庫服務(wù)��。他們聲稱可以訪問數(shù)千個客戶環(huán)境或租戶中的數(shù)據(jù)庫����,其中包括一些財富500強公司的數(shù)據(jù)庫���。這是可能的����,因為云計算服務(wù)在共享基礎(chǔ)設(shè)施上運行——事實證明,這可以發(fā)現(xiàn)一些云計算提供商認(rèn)為已經(jīng)解決的共享風(fēng)險��。
如果人們沒有聽說去年夏天的這起事件���,那可能是因為入侵微軟Cosmos DB服務(wù)的黑客并不是網(wǎng)絡(luò)罪犯�����。他們是云安全初創(chuàng)廠商Wiz公司的研究人員��。研究人員給該漏洞起了一個令人難忘的名字“ChaosDB”���,并將其報告給了微軟?���!翱缱鈶簟眴栴}在任何實際攻擊者攻擊之前就已修復(fù),其危機得以化解���。
但這一驚人的發(fā)現(xiàn)讓W(xué)iz公司和其他幾家供應(yīng)商的研究人員很想知道這種新型跨租戶漏洞到底有多普遍��。這導(dǎo)致一個月后在Azure服務(wù)中發(fā)現(xiàn)了另一個可怕的漏洞���,然后又出現(xiàn)第三個漏洞����。然后又發(fā)現(xiàn)另外三個漏洞——而在幾個月內(nèi)在Azure發(fā)現(xiàn)六個關(guān)鍵漏洞�����。
包括ChaosDB漏洞在內(nèi)����,其中五個關(guān)鍵漏洞表明有可能破壞大量不同的云計算環(huán)境或租戶。Wiz公司研究主管Shir Tamari表示�,像ChaosDB這樣的跨租戶漏洞是“在云服務(wù)提供商中可能發(fā)現(xiàn)的最嚴(yán)重的漏洞?���!?/p>
Tamari指出,Wiz公司的研究團隊并沒有尋找這種類型的漏洞��,只是偶然發(fā)現(xiàn)了ChaosDB���。他說��,這一發(fā)現(xiàn)向研究人員揭示了這種問題甚至在公有云中也有可能發(fā)生�。
安全研究人員還將繼續(xù)發(fā)現(xiàn)AWS中的兩個關(guān)鍵漏洞。但研究人員表示�,在過去一年中��,大部分最嚴(yán)重的漏洞都是在Azure中發(fā)現(xiàn)的���。對于一些安全研究人員和行業(yè)分析師來說�����,這一系列問題引發(fā)了對微軟公司保護其Azure服務(wù)的方法的質(zhì)疑���。
獨立安全研究機構(gòu)Securosis公司首席執(zhí)行官兼長期安全行業(yè)分析師Rich Mogull說,“這很令人擔(dān)憂���。這是一種模式��。所以問題是:我們是否相信這是因為他們受到了更嚴(yán)格的審查?還是他們有更多的問題?可能兩者兼而有之�����。”
Orca公司首席技術(shù)官Yoav Alon表示��,云安全服務(wù)商Orca Security公司的研究人員在Azure服務(wù)中發(fā)現(xiàn)了兩個跨租戶漏洞�,這些問題強烈表明Azure公司無法承受研究人員施加的與AWS和GoogleCloud相同程度的壓力����。
Alon說,“我認(rèn)為目前在云計算領(lǐng)域與其他供應(yīng)商相比�,他們可能在安全性方面有些落后?���!?/p>
微軟公司并沒有對行業(yè)媒體的報道發(fā)表評論。
該公司在一份聲明中表示��,“安全性是Azure的基礎(chǔ)����。客戶信任微軟公司跨物理數(shù)據(jù)中心���、基礎(chǔ)設(shè)施和運營提供的多層安全性�����,網(wǎng)絡(luò)安全專家積極監(jiān)控以保護企業(yè)的數(shù)據(jù)���。我們通過與研究人員的漏洞賞金不斷地在內(nèi)部和外部參與發(fā)現(xiàn)并修復(fù)安全問題�����,我們積極分享更新和指導(dǎo)���。”
其他研究人員和分析師表示�����,他們不認(rèn)為這些發(fā)現(xiàn)表明微軟公司在保護其Azure服務(wù)的方法上與AWS或谷歌云相比存在任何弱點��。
獨立信息安全顧問Kevin Beaver表示�,事實上�����,云計算基礎(chǔ)設(shè)施非常復(fù)雜�,這樣的安全問題是不可避免的。Beaver說�����,“我不認(rèn)為這有什么可怕的?��!?/p>
一種新的漏洞
然而��,許多安全專家都認(rèn)為���,這些問題指向一種新型漏洞,客戶在很大程度上沒有考慮到他們對云計算風(fēng)險的理解���。畢竟����,在發(fā)現(xiàn)這些風(fēng)險之前����,即使是安全研究人員也不認(rèn)為云平臺中的租戶隔離存在問題。
漏洞賞金平臺Bugcrowd公司創(chuàng)始人兼首席技術(shù)官Casey Ellis說��,“我認(rèn)為可以肯定的是����,當(dāng)他們使用云計算提供商的云計算服務(wù)時��,很多人會認(rèn)為這一切都已經(jīng)解決���,如果發(fā)現(xiàn)不是,可能會有點驚訝�����。它確實違反了人們對云安全的基本假設(shè)�����。如果這個假設(shè)在起作用���,那么可能需要重新解決這個假設(shè)?��!?/p>
IDC公司安全與信任項目副總裁Frank Dickson表示��,他認(rèn)為公有云提供商根本上來說非常安全�����,遠比內(nèi)部部署數(shù)據(jù)中心環(huán)境更安全�����。
Dickson說��,“這是否說明了一類新的漏洞?確實如此�。”
與一兩年前相比�,新冠疫情使企業(yè)加速向云計算的遷移,也使得更多的客戶現(xiàn)在嚴(yán)重依賴AWS���、Azure和谷歌云�。安全專家指出���,這放大了被利用的跨租戶漏洞的潛在影響�����。
美國情報機構(gòu)前滲透測試人員�����、現(xiàn)為網(wǎng)絡(luò)安全服務(wù)商Deepwatch公司創(chuàng)始人兼副總裁Patrick Orzechowski說�,“很多人對AWS、微軟或谷歌十分信任���,并認(rèn)為他們可以確?��;A(chǔ)設(shè)施中沒有重大漏洞?!?/p>
根據(jù)研究機構(gòu)Synergy Research集團發(fā)布的調(diào)查報告,今年第一季度�,全球云計算基礎(chǔ)設(shè)施服務(wù)支出飆升至近530億美元,同比增長34%�。Azure云平臺在本季度占據(jù)了22%的市場份額,落后于亞馬遜33%的市場份額�����,但仍遠遠領(lǐng)先于谷歌云10%的市場份額��。
攻擊云平臺
2019年年中����,針對CapitalOne公司的AWS云環(huán)境的網(wǎng)絡(luò)攻擊泄露了1.06億客戶的數(shù)據(jù)����。這家美國最大的銀行之一的違規(guī)事件為云安全領(lǐng)域敲響了警鐘,顯示了當(dāng)網(wǎng)絡(luò)攻擊者以公有云為目標(biāo)時可能發(fā)生的情況。
但盡管情況很糟糕�����,這次違規(guī)只影響了一家公司�。由于云計算的架構(gòu),每家企業(yè)的數(shù)據(jù)都與其他公司保持隔離和不可見����。破壞某個客戶環(huán)境的網(wǎng)絡(luò)攻擊者無法訪問其余客戶的環(huán)境。
客戶通常很信任AWS��、微軟或谷歌這些云計算供應(yīng)商���。
或者至少認(rèn)為他們不應(yīng)該這樣做��。自從去年8月以來發(fā)現(xiàn)的一系列公有云漏洞表明��,可能會發(fā)生前所未有的大規(guī)模攻擊:研究人員表示����,如果此類攻擊獲得成功�����,其帶來的嚴(yán)重程度可能是CapitalOne公司泄漏事件的100或1000倍。
一些網(wǎng)絡(luò)安全專家表示���,值得慶幸的是����,到目前為止還沒有看到這種情況發(fā)生���。但這也意味著這個問題也沒有得到足夠的關(guān)注�����,即使是在安全社區(qū)���。
Alon說,“如果發(fā)生災(zāi)難性的事情���,它將得到更多的關(guān)注�����,我們正在努力防止這種災(zāi)難性的情況發(fā)生���。”
可以對軟件供應(yīng)鏈攻擊進行類比��,這些攻擊基于類似的理由令人恐懼:破壞單個應(yīng)用程序可能會導(dǎo)致許多最終客戶遭受損失或影響���,例如2020年的SolarWinds網(wǎng)絡(luò)攻擊����。公有云尚未出現(xiàn)SolarWinds這樣的攻擊��,但研究人員的表示�����,如果網(wǎng)絡(luò)攻擊者首先發(fā)現(xiàn)了其中一個最近的漏洞�����,那么情況可能會有所不同���。
令人關(guān)注的“關(guān)鍵”問題
云安全專家Scott Piper表示���,在2021年8月至2022年1月期間,安全研究人員在主要云服務(wù)平臺上共發(fā)現(xiàn)了8個“嚴(yán)重”的漏洞�����,他在GitHub上編制了一份冗長的問題清單。Piper的統(tǒng)計表明���,自從去年夏天以來��,Azure云平臺已經(jīng)發(fā)現(xiàn)了六個關(guān)鍵漏洞��,相比之下����,亞馬遜的云平臺上有兩個關(guān)鍵漏洞���,谷歌云平臺上沒有關(guān)鍵漏洞�。
由于公有云漏洞通常被排除在常見漏洞和暴露系統(tǒng)之外��,因此這些問題中的大多數(shù)都沒有被官方授予嚴(yán)重性評級�����。Piper根據(jù)自己的評估���,將嚴(yán)重性評級歸因于迄今為止已披露的53個公有云問題�,從“低”到“嚴(yán)重”不等。Wiz公司指出Piper的工作是這些公有云問題的權(quán)威文檔����。
除了研究人員和供應(yīng)商本身之外��,Piper可能和任何人一樣熟悉最近一連串的公有云漏洞��。對他來說��,最引人注目的是研究人員已經(jīng)反復(fù)證明了在Azure服務(wù)上實現(xiàn)跨租戶訪問的能力���。
相比之下���,由于這兩個最近發(fā)現(xiàn)的影響AWS的嚴(yán)重漏洞。Piper說�����,“如果他們深入挖掘��,似乎能夠獲得跨租戶訪問����,但通過Azure���,他們實際上證明了這一點?����!?/p>
在ChaosDB之后�,下一個要發(fā)現(xiàn)的嚴(yán)重Azure漏洞是Azure容器即服務(wù)平臺上的跨賬戶接管漏洞。它是由Palo Alto Networks公司的Unit42小組的研究人員發(fā)現(xiàn)的���,并被稱為“Azurescape”�����。
Palo Alto Networks公司首席安全研究員Yuval Avrahami在去年9月發(fā)表的一篇博客文章中寫道:“跨賬戶漏洞通常被描述為公有云的‘噩夢’場景�����。Azurescape證明它們比我們想象的更真實���。”
從那以后��,這方面的證據(jù)不斷積累。在接下來的幾個月中����,在Azurescape錯誤出現(xiàn)之后,又出現(xiàn)了Azure服務(wù)中的三個額外的跨租戶漏洞��。Orca Security公司研究人員發(fā)現(xiàn)了影響Azure自動化服務(wù)的“AutoWarp”和影響AzureSynapse分析服務(wù)的“SynLapse”��。Wiz公司研究人員表示�����,它影響了PostgreSQL Flexible Server的Azure數(shù)據(jù)庫��。
由Wiz公司發(fā)現(xiàn)的另一個被稱為“OMIGOD”的嚴(yán)重Azure漏洞沒有啟用跨租戶訪問��。但與其他漏洞相比����,它對客戶來說是更直接的問題:該漏洞影響了客戶的一系列Azure服務(wù)�����,并在去年秋天被網(wǎng)絡(luò)攻擊者廣泛利用�����。相比之下,目前還不知道其他Azure最近的漏洞是否被利用�����。
你只有一份工作
在防止云中的跨租戶漏洞方面����,云客戶的安全團隊無能為力。Forrester公司首席分析師Lee Sustar表示�����,這些問題顯然超出了任何客戶的能力范圍���,他們只能依賴于他們的云計算提供商���。
所有主要的公有云平臺都使用某種形式的“責(zé)任共擔(dān)”模型,在供應(yīng)商和客戶之間劃分安全職責(zé)�。根據(jù)該計劃,供應(yīng)商承諾保護底層基礎(chǔ)設(shè)施�����。客戶負(fù)責(zé)保護自己的數(shù)據(jù)和應(yīng)用程序�����。
Sustar指出��,跨租戶漏洞無疑屬于責(zé)任共擔(dān)模型的供應(yīng)商一方�。相比之下,對于過去的云計算違規(guī)事件��,例如CapitalOne數(shù)據(jù)泄露事件���,責(zé)任主要在客戶方面。
網(wǎng)絡(luò)安全服務(wù)商FireMon公司的云安全高級副總裁Mogull表示��,確保租戶隔離在云計算服務(wù)提供商的安全責(zé)任中名列前茅����。他說,“就像‘你只有一份工作’一樣��,對于任何云計算提供商來說�,沒有更大的風(fēng)險或擔(dān)憂?����!?/p>
盡管如此,盡管云平臺在安全性方面并不完美��,但在許多情況下����,它們?nèi)詫⒈仁褂脭?shù)據(jù)中心更安全。Mogull說����,“我是云計算的堅定支持者,我認(rèn)為每個人都應(yīng)該把他們能做的一切都遷移到云平臺上�����?�!?/p>
Luttwak表示�����,對于Wiz公司來說���,漏洞研究的目標(biāo)只是幫助客戶了解公有云中確實存在隔離問題�����。Luttwak公司曾是微軟公司以色列分公司研發(fā)部門的首席技術(shù)官�,后來于2020年共同創(chuàng)立了這家云安全初創(chuàng)公司。
他說:“這是我們過去認(rèn)為不夠的�����。作為云計算提供商的用戶�,我們確實需要問他們這樣的問題,‘什么是隔離模型?如何確保隔離?’”
網(wǎng)絡(luò)安全服務(wù)商JupiterOne公司的現(xiàn)場安全總監(jiān)Jasmine Henry表示��,鑒于客戶數(shù)據(jù)隔離是安全云計算的“絕對核心原則”��,業(yè)界現(xiàn)在才發(fā)現(xiàn)需要有關(guān)云計算提供商使用的隔離架構(gòu)的文檔�����。Henry表示說�����,云計算提供商必須找到一種方法來證明其隔離性��,而不必付出太多代價���,也不會造成進一步的安全風(fēng)險�����。
她說�����?!白鳛橐粋€行業(yè)���,我認(rèn)為這些都是我們正在學(xué)習(xí)的東西�?!?/p>
觀點問題
Luttwak表示,在Azure中發(fā)現(xiàn)的一系列跨租戶漏洞甚至可以被視為一件好事��。他說�����,微軟公司鼓勵此類研究�����,并為發(fā)現(xiàn)Azure漏洞提供高達6萬美元的獎金。
Luttwak說�,“存在漏洞的事實并不意味著整個平臺不安全。我不認(rèn)為可以聲稱Azure比其他產(chǎn)品更安全����。這是一個很好的問題,但我認(rèn)為沒有人有數(shù)據(jù)可以這么說���?��!?/p>
2001年創(chuàng)立了咨詢公司Principle Logic公司的Beaver說,Azure中出現(xiàn)的漏洞似乎更像是微軟公司運氣不佳并成為安全研究的目標(biāo)的問題����。
他說,“這些事情隨時可能發(fā)生在任何企業(yè)身上���?�!?/p>
微軟公司的聲明中表示,其安全團隊全天候工作���,以識別和緩解潛在的安全問題����。還通過協(xié)調(diào)漏洞披露與安全研究界合作,確保在公開披露潛在安全問題之前發(fā)現(xiàn)并緩解這些問題����。
盡管如此,Wiz公司的研究團隊和Orca Security公司的公有云漏洞研究團隊都表示�,他們已經(jīng)投入了類似的時間來尋找AWS、Azure和Google云中的問題���,Azure中主要存在嚴(yán)重的跨租戶漏洞����。
當(dāng)然�����,沒有人會認(rèn)為安全性被排除在Microsoft Azure服務(wù)的設(shè)計考慮之外��。但多位云計算安全專家表示�����,根據(jù)目前的漏洞研究�����,似乎遺漏了某些允許用戶繞過租戶隔離的使用場景。
身份驗證和授權(quán)問題是許多關(guān)鍵Azure漏洞的主題�。威脅研究服務(wù)商Invisible Threat公司的所有者兼首席研究員Scott Walsh說:“這個系統(tǒng)承載了太多的信任?��!?/p>
Walsh說���,對于ChaosDB關(guān)鍵漏洞,微軟公司似乎在檢查授權(quán)的第一步���,但隨后假設(shè)信任���,這使得網(wǎng)絡(luò)攻擊者能夠在授權(quán)的初始階段之后獲得對其他租戶的訪問權(quán)限。
他說:“基本上看起來��,如果有足夠的信任進入這個云實例��,那么你在這個實例中的每件事都有足夠的信任���。在多租戶共享環(huán)境中��,這還不夠好����?��!?/p>
Wiz研究人員報告說����,通過利用CosmosDB服務(wù)中的一系列錯誤配置���,他們能夠不受限制地訪問網(wǎng)絡(luò)并獲得許多“秘密”(私鑰和證書)可用于管理數(shù)據(jù)庫服務(wù)����。
Orca Security公司表示��,SynLapse并非如此����。該公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua在5月9日的一篇博客文章中寫道,Orca Security公司的研究人員于1月首次發(fā)現(xiàn)Azure Synapse服務(wù)中的漏洞��,但在微軟公司在今年3月部署補丁之后�,研究人員在4月仍然能夠繞過租戶分離的問題。
Shua在帖子中說,“我們認(rèn)為該架構(gòu)包含潛在的弱點���,應(yīng)該通過更強大的租戶分離機制來解決這些問題���。”
未受影響的客戶
Navisite公司首席執(zhí)行官Mark Clayman表示����,到目前為止,跨租戶Azure漏洞的發(fā)現(xiàn)并未引起客戶的重大擔(dān)憂����,Navisite公司提供云戰(zhàn)略和遷移服務(wù),并持有頂級Azure Expert MSP認(rèn)證�。Clayman表示,在采用Azure方面��,客戶并沒有暫停�����,至少部分原因是這些發(fā)現(xiàn)是相對較新的����,到目前為止還沒有發(fā)生跨租戶違規(guī)行為���。
他說,另一個因素可能是“更精通技術(shù)”的客戶更有可能專注于AWS或谷歌云�����。Clayman說���,“我只是發(fā)現(xiàn)更傳統(tǒng)、更保守的公司更傾向于Azure���?!?/p>
IDC公司的Dickson表示��,他最近與之交談的客戶也沒有對Azure的關(guān)鍵漏洞表示任何擔(dān)憂����。因此,客戶在這個問題上對微軟公司的壓力似乎很小����。
盡管如此,F(xiàn)orrester公司的Sustar表示���,盡管客戶過去可能認(rèn)為跨租戶問題是“低級風(fēng)險”����,但在他們可能會在了解最近的調(diào)查結(jié)果時重新評估這一點。
OrcaSecurity公司的Alon說���,如今的微軟公司產(chǎn)生的資金數(shù)量和它做出的安全承諾類型之間似乎存在差異�。
他說�,“如果有一個平臺可以產(chǎn)生數(shù)十億美元的收入,并承諾安全�����,但交付不足�����,那么可以將其中的一些資金用于提高安全性���。而微軟是世界上規(guī)模最大的公司之一��。如果選擇這樣做�����,并且將其作為最高優(yōu)先級���,他們就可以做出令人驚奇的事情����?�!?/p>
Walsh表示��,解決潛在問題可能首先需要更好地處理這些Azure服務(wù)中的邊界��。然后��,微軟公司可能希望隨著時間的推移緩慢地�、迭代地改變服務(wù)架構(gòu)�,以帶來更加云原生的身份和訪問管理風(fēng)格。
他說����,“這可能還會有一段時間會面臨困難?�!?/p>
可信計算2.0?
Alon表示��,相信微軟公司將能夠改善圍繞Azure服務(wù)漏洞的情況。他指出��,微軟公司在扭轉(zhuǎn)安全方面有著良好的記錄����,這可以追溯到2002年著名的“可信賴計算”備忘錄。在給微軟員工的內(nèi)部備忘錄中���,比爾·蓋茨承諾將微軟產(chǎn)品的安全放在更高的優(yōu)先級���,導(dǎo)致多年來在提高安全性方面取得了很大進步。
Alon表示��,微軟公司現(xiàn)在可能正在接近與云安全類似的時刻���。他補充說�,懷疑該公司已經(jīng)在內(nèi)部進行了更改以阻止未來的Azure安全問題����。
Alon說,“但改變需要時間��。我們將在接下來的幾個月和幾年內(nèi)看到更多的改變����?��!?/p>
Mogull表示,近年來���,微軟公司通過一系列非常積極的舉措證明了其對網(wǎng)絡(luò)安全的承諾����,這也令人鼓舞���。
例如��,微軟公司近年來在打擊“全球民族國家級僵尸網(wǎng)絡(luò)”方面值得稱贊。在今年4月��,微軟公司披露了其在摧毀ZLoader僵尸網(wǎng)絡(luò)中的作用��,這是一個由網(wǎng)絡(luò)犯罪分子用來執(zhí)行包括勒索軟件在內(nèi)的攻擊的受感染計算機網(wǎng)絡(luò)�����。
Mogull表示�,總體而言�,它們具有出色的安全性���。但談到Azure的安全性����,他說���,“我只是希望它變得更好����。而且我認(rèn)為微軟公司可以做到�。”
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號
