云安全三大隱患

“失望、準備遷移、賠錢”，這是用戶在云服務中斷后的普遍反應。梳理近 1 年以來發生的云安全事故，我們發現：

• 去年 11 月，今年 3 月微軟 Azure 出現過云故障。
• 蘋果在3月和7月都出現過問題，3 月的癱瘓更是超過 11 個小時，App Store、Apple Music、Apple Radio、Apple TV 等，甚至是 OS X 軟件更新都受到了影響。
• 黑色 5 月里，網易、支付寶、攜程都連續出現問題。其中支付寶出現的問題和今年 7 月紐交所技術故障導致的交易暫停都是設計金融領域比較嚴重的事故。支付寶解釋自己故障的原因是運營商的光纖被挖斷導致。
• 6 月阿里云香港機房癱瘓 12 個小時。
• 今年 3 月騰訊云也曾出現用戶無法訪問，回應是上海機房出現問題。
• 7月就在云服務廠商青云第一屆用戶大會進行的同時，青云的云服務出現了中斷。

每一個事故都有自己獨特的原因，那么如何系統地看待云事故，筆者請教了百度云安全部技術主席王宇。

王宇認為，涉及之前出現的云事故大體可以分為三類：

「首先是硬件故障。云環境下硬件故障是十分常見的情況，在設計支撐云服務的底層基礎設施之初就應該充分考慮。 如何避免單點，如何實現熱備及自動故障恢復甚至「帶傷運轉」是每個云服務商在事前就必須考慮的問題，傳統意義上簡單的災備并不能滿足云服務的高可靠要求。

除了青云的此次事故，5 月網易出現的部分服務無法訪問，業界也有觀點認為是其網絡設備板卡出現問題，這都屬于硬件方面的準備和考慮不足所致。」

「其次人為誤操作。對于云環境下的業務來說，單次誤操作的影響力無疑被很大程度的放大了。雖然每個云服務商都應該有 SOP(Standard Operation Procedure，即標準作業程序，就是將某一事件的標準操作步驟和要求以統一的格式描述出來，用來指導和規范日常的工作)和 BCP(業務持續性計劃、Business Continuity Plan)，但在實際的制定和執行過程中經常會出現考慮不周或者執行不到位的情況。 云服務提供商需要通過對外不斷的學習評估業內之前出現過的案例，以及其處理方式的妥善與否來改進完善自己的 SOP 和 BCP，對內結合自己的業務場景不斷進行演練改進，提升其執行力度和熟練程度。

簡單來看， 出現問題后的恢復時間長短其實成為衡量一個廠商服務能力的一個重要指標，之前國外云廠商能在完全中斷服務的情況下，2 個小時內恢復云，屬于相對成功的案例。」

「第三點不得不提到由于被攻擊或人為惡意操作導致的問題。

云服務模式下的信息和數據高度集中，對云服務提供商的安全能力提出了非常高的要求，如何抗住外部黑客攻擊入侵以及內部惡意人員的覬覦，讓服務和數據安全的存儲和使用，滿足 CIA(機密性，完整性和可用性)要求，云服務商需要重點在安全上花大力氣和大投入。 」

DDoS成為針對服務和數據的最猖獗的攻擊之一

2014 年的雙十一，一家云安全公司服務的互聯網金融客戶被攻擊，這次攻擊持續時間很長。云安全公司通過自己的線人找到了蓄意攻擊的黑客。

此時的黑客正在泰國享受海灘和陽光，并夸下海口：「我已經收入定金 2 萬，如果攻下來還會有更多獎勵，我會一直攻擊的。」 這家云安全公司和黑客繼續搏斗了一天一宿，黑客不斷變化策略，工程師隨即加強防護，最終黑客放棄了，也不得不把 2 萬的定金還回去。

像這樣的攻擊幾乎始終在云計算領域上演著，來自于競爭對手雇傭黑客進行攻擊;黑客為顯示自己的技術發起攻擊;通過對用戶網站攻擊進行敲詐勒索，各種 DDoS 攻擊在此消彼長。攻擊者會輪流嘗試流量攻擊、CC 攻擊、混合型攻擊等，斷斷續續持續幾天時間，直到攻擊者得手或死心。其中 CC 攻擊(Challenge Collapsar，挑戰黑洞)主打應用層，也是 DDoS 攻擊的一種。

DDoS 的含義是「分布式拒絕服務」。第一個D表示用的是分布式的資源，而 DoS 是目標和結果，通過拒絕服務讓用戶業務失去可用性，這里可能是不能訪問網頁、不能下單、看不到商品、搜索不出來結果等等。

黑客試圖把云服務商的寬帶占滿，或者耗盡其系統或數據庫計算或 IO 能力。由于其攻擊手段是分布式的，攻擊源可能來自很多機器，比如一些被控制的肉機或者花錢包下來的機房。肉機來源多種多樣，可能是被控制的個人計算機、服務器或者網絡設備。

近些年來的 DDOS 攻擊源和攻擊方式上有一些流行趨勢：

1 反射 DdoS(DrDDOS) 攻擊被廣泛的利用， 利用開放在互聯網上的一些公共服務或操作系統的特性，攻擊者發出的一個小流量數據包通過反射擴大到幾十倍或上百倍。比如 1G 的流量經過存在漏洞的服務器變成 10G 流量，可以快速堵滿一個小機房的出口寬帶。

2 嵌入式設備變成攻擊源日漸頻繁。 隨著 IOT 的普及，智能家居，路由器，無線接入點，甚至是城市的公共服務比如全城 Wi-Fi 等。這些終端成為黑客可攻擊的目標。我們甚至觀察到，使用手機參與的網絡攻擊行為。這其中，有些嵌入式設備如路由器作為網絡最前端的接入點，其擁有的帶寬和數據包收發處理能力是相當恐怖的。

3 第三種方式就是包機房。 這種方式雖然并不新鮮，屬于老生常談，但很多大流量的攻擊如 Syn Flood 一般都是此種類型的環境打出，由于其來源 IP 偽造，在實際的攻擊源追溯方面，也存在一定的難度。DDoS 一般都是蓄意攻擊，黑客愿意付出一定的成本包機房是顯而易見的。有時云服務商被攻擊，看到攻擊來源是世界各地的，其實往往是黑客包的一個機房。

王宇認為有一個重要趨勢是所有云服務商都必須注意，那就是自己的服務可能會被黑客作為攻擊源打外部用戶。云服務商需要對自己提供的服務提高檢測能力，防止自己的機器被黑客利用，同時在攻擊發生時，云服務商需要要有一定的預警和壓制能力。

目前各家云服務和安全廠商都在推廣自己的 CDN 服務，CDN 在某種程度商可以抗擊 DDoS 攻擊，為了了解其中的機制，筆者也求助了 UPYUNCTO 黃慧攀。

「一般黑客通過 DDos 攻擊云服務商或者云上的某家企業，會主要攻打一個機房或者說某一個節點，讓這個節點的帶寬全部跑滿。這就像是你的身體有多大，你就能承受多少力量。 如在被攻擊時，可以釋放更多的 CDN 節點給到被攻擊方，同時把受到攻擊的用戶全部轉移到高防機房，在半小時內逐一排查，最后確認被攻擊的客戶和攻擊來源。這就是 CDN 防止 DDos 的機制。 」、

#p#

新型隱患 0day 漏洞與持續升溫的 APT 攻擊

不久前，在知名論壇軟件系統 Discuz X3.2 最新版源碼包中的默認插件 dzapp_haodai 中，被發現存在高危漏洞。Discuz 是國內最主流的論壇軟件系統，用戶量大，影響范圍廣。dzapp_haodai 是一款好貸站長聯盟插件，站長安裝之后可以增加社區貸款頻道，實現銀行、小貸公司等上萬種產品的數據展示和使用。

近1年，黑客緊盯互聯網金融領域，該漏洞對黑客的吸引力不言自明。一旦黑客獲取到服務器權限，就可以盜取用戶信息、資金賬戶。0day 漏洞主要是軟件漏洞導致的黑客攻擊。在 SaaS 軟件層面，因為涉及到用戶的加密和解密，黑客會偽造成訪客，即便沒有證書讀取加密的數據，也能夠入侵你的系統。

Gartner 的最新統計，75% 的攻擊行為已經由網絡層轉移到了應用層，在最近美國計算機安全協會 (CSI)/美國聯邦調查局 (FBI) 的一項研究中也表明：在接受調查的公司中有 52% 的公司的系統遭受過外部入侵，但其中有 98% 的公司都是裝有防火墻的。

代表黑客攻擊最高水平的當屬 APT(Advanced Persistent Threat 高級持續性威脅)攻擊，其是一種利用 0day 等先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。A 表示高級，是指在資源和時間商的有非常多的充足，可能包括漏洞，用到的木馬，滲透用的定制化工具。P 體現在持續性，T 是有針對性威脅。

0day 漏洞之所以可怕，是因為黑客已經掌握而官方還沒有相關補丁，但最可怕的不是漏洞存在的先天性，而是 0day 的不可預知性，擁有 0day 的黑客完全可以猶如無人之境在目標系統中肆意窺視破壞。只有早于黑客發現漏洞，或者在黑客展開 0day 攻擊之前打上補丁，才能避免安全事故的發生。在尚未升級漏洞補丁之前，包含 0day 漏洞的網站都處在「裸奔」狀態。

APT 攻擊是隱藏性的，專門針對的是核心數據或情報，比如阿里云在金融和政府領域應用較多，最近收購的瀚海源，也是為了更多的防范 APT 攻擊。

判斷云服務是否安全的「潛規則」

今年 UPYUN 也曾出現了因為數據中心光纖被挖斷導致的服務中斷，受到影響的客戶都按照 150 倍的賠償，基數是前一天的消費額度。而這次青云事故對用戶的賠付也超過百萬。

但實際上，云服務終端對用戶的賠付也只是后話，用戶真正的損失很難有一個具體的量化指標。因此在選擇云服務商的具體指標上就要更加仔細。

對于用戶而言，哪些因素是判斷一家云服務商安全的重點呢?UPYUNCTO 黃慧攀告訴我了一些可以評判的「潛規則」。

第一通過業務成熟度，判斷某一類云廠商所提供的服務的能力。 在簽訂云廠商的時候，要考量合同和業績，SLA 保障資質是關注重點，SLA 是 Service-Level Agreement 的縮寫，意思是服務等級協議。是關于網絡服務供應商和客戶間的一份合同，其中定義了服務類型、服務質量和客戶付款等術語。比如保障服務中斷時間不能超過多少，在線達到 99.9%，幾個 9 的穩定性;一年內問題累計時長不能超過多少。

其次，用戶在選擇服務商的地方，用戶對自己的技術部署也要有考量，不能全部依賴云服務商。 有條件的用戶，在云上要自己設計災備制，避免單點服務。可以選擇一個服務商不同地區的機房，或者同時采用多家云服務。

在比較具體的一些做法上，可以優先考慮規模，一般云服務商的規模越大保障能力越強。

還可以連續一個星期在各個云上做實驗，跑壓力測試，如果云服務比較穩定，波動較少是比較值得使用的。目前云服務廠商會出現一些超賣云主機的行為，超賣，簡單解釋就是云主機實際只能支持100臺虛擬機,但云平臺賣了120臺。如果波動較少，意味著超賣的可能性降低。

在總結了這些技術、機制以及攻擊帶來了云在服務上的安全隱患，另外一個值得注意的則是數據安全問題。

在美國，數據泄漏要云服務商承擔很高昂的代價，因此沒有公司會這么明目張膽地買賣數據。數據泄露的另外原因則是云服務商內部員工操作導致。

云上的用戶都是弱勢群體，很多數據泄露都是在用戶不知情的情況下被泄漏出去。盡管公有云廠商會承諾存放在其上的數據一定是加密的，但現實是公有云廠商可以直接把用戶的數據拷走。

「數據在云平臺上的隔離其實只是一個說法。用戶對數據的所有權和管理權是分離的。數據是用戶的，但你卻管不著，除非那些非常核心的數據，公有云服務商為你加密，但依照現在的技術，全部數據加密是很難做到的。」 UPYUNCTO 黃慧攀道出行業的真實情況。

「數據技術還無法加密到只有客戶能看見，對服務商和運營商是黑盒子。數據只給客戶看，但要讓數據在云上跑起來，就必須檢索查詢運行，這是個悖論。」