去年夏天,美国第一资本投资集团 Capital One (美国第 5 大银行)成为大规模数据泄露的受害者,该数据泄露涉及超过 1 亿张信用卡申请和 14 万个社会安全号码。原因是:一名攻击者发起服务端伪造请求或 SSRF,诱使服务器连接到本不应该连接的服务器。这是一种新的网络安全漏洞,它起源于云计算。
事实上,SSRF 已成为使用公共云服务器的企业所面临的最严重的漏洞之一。SSRF 攻击的潜在危害由于提供公共云服务器而变得更加严重。然而,在这次事件中,尽管遭到破坏的服务器和数据位于 AWS 的基础设施上,但 Capital One 对此事件负有全部责任。和所有其他云服务器一样,当用户使用云服务器时,服务商只负责保护基础架构,而用户则负责保护其数据和应用程序。
目前,关于云服务器最大的误解是,使用云服务器,意味着保护你的数据和应用程序不受威胁。根据国际知名调查机构 EMA 最近一项调查发现,有 53%的人认为云服务器供应商应对大多数或所有公共云服务器的安全负责。
一、 过分随意的权限控制和操作是云服务器安全性的最大漏洞
问题不在于云服务器本身。现在,大多数安全专家都认为,云基础架构至少与最佳企业数据中心一样安全。相反,问题出在过于随意的人为处理方式。
基本上,云服务器与本地部署的服务器没多少不同。但是很多企业从未完善地控制使用云服务器的权限。
许多企业都将云服务器作为一种便捷的方式,来满足其开发人员和最终用户对快速调配和对他们的应用程序的更好控制的需求。云提供商使那些仅具有中等技术技能的人可以轻松地安装应用程序和上传数据。
但是易用性也会造成虚假的安全感。云服务器使管理方式变得更加友好的同时,也可能使你通过一键式操作造成严重灾难。目前的现状是,很多企业在不具备确保安全使用的能力之前就已经开始启用云服务器,他们的安全运营团队甚至不总是参与其中。缺乏安全性程序或简单的粗心大意,甚至蒙蔽会使那些最精通网络的企业。
这些数据泄露事件都不是大型云提供商的错,它们都提供了世界一流的安全控制。但是,每个公司对产品的定义都有些不同,许多服务需要额外付费。控件也不一定易于理解。两年前,由于对嵌套和重叠权限的混淆,无数客户无意中使机密数据公开暴露,从而使 Amazon 全面改革了其 S3 云存储服务的安全控制。
诸如此类的事件凸显了企业在使用云服务器时需要更好地了解其职责并开发保护用户免受自身伤害的程序的需求。有关调查机构预计,在未来六年中,云安全故障的 99%将是人为错误造成的,90%无法控制公共云服务器规范使用的企业将不恰当地共享敏感数据。
关于云服务器安全性的最大误解
二、内部安全风险与云服务配置错误
近年来,人们对云安全的认识发生了明显变化。总的来说,云服务器比大多数企业自身的数据中心更加安全。云服务器供应商将资源投入网络安全建设中,这使其相比绝大多数企业自身维护网络安全来说更加专业和安全,例如,云服务器供应商可以更好地应对 “零日” 漏洞或迄今未发现的潜在威胁,因为它们可以监控许多攻击点。
现在,云安全性的质量是如此之高,以至于很容易被认为云服务器供应商会处理所有事情。但是,正如 AWS 的 “共享责任模型” 所说明的那样,有明确的界线。云服务器类似一栋公寓楼。房东保护建筑物周边,但将单个公寓的安全性留给租户。云服务器供应商以类似的方式捍卫他们的云计算平台所在的基础设施,但将系统软件、应用程序和数据的控制权留给客户。
最常见的云服务器安全风险与公司内部部署服务器的风险相同。但是,云服务器可以采取密码保护措施。长期以来,弱密码一直是企业要解决的最顽固的问题之一,但是,当受保护的资产是云管理帐户时,对企业的风险可能会更大。如果我们可以进入云服务器的控制台,则可以不受限制地访问该帐户上的所有服务器。多因素身份验证,是所有云提供商都提供的相对简单的补救措施,但默认情况下没有强加于人。
近年来,更大的问题是配置了错误的云服务,如 Capital One 漏洞根源。IBM 公司在 2019 年表示,由于配置错误而导致的云安全事件数量在 2018 年上升了 20%。McAfee 调查发现,用户每月平均识别 37 次配置错误事件。但是研究人员还估计,大约有 99%的错误配置未被注意到。
三、怎样提高云服务器的安全性?
所有这些因素并不能构成反对使用公共云服务器的理由。云服务器提供商在加强服务方面已取得了长足的进步,其创新步伐将继续超过大多数客户。
“数据吧云计算” 建议用户实施严格的访问控制,对访问权限进行微细分,始终对数据进行加密,并了解企业所控制的基础架构:任何使用公共云服务器的人员都应熟悉 “责任共担模型”,要强调云服务器的安全性是客户与其云提供商之间的共同责任。
如果客户没有专业的技术团队,建议不要轻易尝试多云和混合云环境。管理多云和混合云环境的复杂性提高了资产管理的门槛。您必须知道您拥有什么硬件、服务和应用程序,它们在哪里运行以及如何配置。
但是,即使是最细致的预防措施也无法满足粗心的用户的需求。尽管云计算巨头已经为保护其客户而采取了所有措施,但最大的威胁还是在于用户错误或不谨慎的操作。
总结:SSRF 漏洞的修复方案
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
解析目标 URL, 获取 scheme、host(推荐使用系统内置函数完成,避免自己使用正则提取)
检查 scheme 是否为合法 (如非特殊需求请只允许 http 和 https)
解析 host 获取 dns 解析后的 IP 地址
检查解析后的 IP 地址是否为外网地址
请求经过解析后的 IP 地址
最后一步需使用解析后的 IP 地址替换 host 请求、禁用 Redirect 跟踪
如果最后一步直接传入URL直接请求,会导致再次进行DNS解析,通过 DNS Rebinding 有概率绕过 IP 地址检查从而访问内网 IP 地址.请求需要禁用 Redirect 跟踪, 如有需要跟踪 Redirect 的需求, 需再次判断 scheme、host 解析、IP 地址.