云平台数据库安全之暴力破解
各行业的企业、个人、开发者希望以低成本的方式实现IT运维外包,通过互联网云服务器实现快速数据分享,充分享受云计算带来的便利,这正是云的魅力所在。
对于快速增长的云应用,在享受随时、随地、随需的高效云服务的同时,企业和个人用户同样面临一个不容忽视的问题:企业重要数据和个人隐私数据保存在云平台的数据库中,如果这些数据资产丢失将会造成巨大损失。
一、云平台下暴力破解攻击现状
暴力破解攻击是云用户面临的最主要威胁之一,以某云平台防护的日常安全运营记录为例,每周黑客对云租户的暴力破解数量高达数亿次。下图是云租户遭到暴力破解攻击的趋势图:
▲2014年6-7月主机暴力破解趋势图
我们可以看出,从6月初到7月底,某云平台的租户被暴力破解攻击的数量平均每周在5亿次。在这5亿次攻击中,攻击目标分布如下(7.21-7.27数据):
二、数据库暴力破解攻击原因及途径分析
随着应用系统使用时间的增加,数据库里已经存储了大量的重要数据,以数据库为目标进行暴力破解的攻击占到了近40%。数据库的暴力破解是指黑客通过字典等方式对数据库的超管账号密码进行猜测的过程。管理员账号和密码是连接数据库的钥匙,一旦密码被成功“暴破”,数据库的安全也将不复存在。
数据库被暴力破解成功的主要原因是由于云租户尤其是很多企业用户,在雇佣软件厂商完成web应用开发后,没有专业技术了解数据库中有哪些运维时留下的账号,暴力破解尝试的不仅是管理员密码和运维账户,还有很多数据库自身存在的缺省账户,以Oracle为例,各版本缺省口令加在一起能达到700多个,这些账户都有可能成为被暴力破解的目标。
再有因为数据库中账户口令是加密存储,而且每个数据库的加密算法不同,如果不借助专业的工具如安华金和数据库漏扫,云租户自身也很难发现数据库中的弱口令,这就给防止数据库的暴力破解带来了难度。
从数据库被暴力破解的途径上分析,每个云服务器有内网和外网两个IP,一个云租户购买的多个云服务器之间可以模拟内网环境(如:vLan)互相访问,外网IP可以通过互联网进行访问。一般情况下,应用服务器通过访问内网IP连接数据库服务器,数据库维护是通过外网IP从互联网进行运维操作。自动化的暴力破解工具一个途径是直接扫描到外网IP地址,发现某个缺省端口在提供数据库服务,之后通过对账户口令进行猜测。另外一个途径就是先攻击应用服务器,之后以应用为跳板扫描数据库账户口令。云平台内网环境下,云租户之间的网络访问也有可能发生口令猜测,但是相信云平台自身的安管平台和网络域安全划分机制已经堵住这个非法访问途径。
三、数据库防止被暴力破解的防御手段
云租户想防止数据库的被暴力破解,安华金和数据库安全专家有三个建议:一是增加数据库账户的密码强度,二是修改数据库的登录失败处理方式,三是使用数据库防火墙实现数据库的主动防御。
当然,某些类型数据库的缺省账户也是需要进行锁定或增加账户的密码强度。
如下表所示密码位数与自动化工具暴力破解时间关系:
对于数据库的口令暴力破解问题,安华金和的数据库漏扫可以帮助云租户找到弱口令和缺省账户口令,建议口令修改为8位以上,如果核心数据库建议口令修改为10位以上,最好是带大小写字母、数字和特殊字符。安华金和的数据库漏扫还可以发现数据库的登录失败处理安全设置,如最大登陆错误次数和登陆失败后的锁定时间,按修复建议进行人工加固。
通过互联网IP和被攻陷的应用服务器IP采用自动化暴力破解工具去猜测数据库账户,即使是猜测不成功,这种非法的登录尝试也会消耗数据库资源,严重的时候可能导致数据库宕机。因此,安华金和数据库安全专家建议在数据库之前采用数据库防火墙进行主动防御。可以通过数据库防火墙实现的安全防护手段有:只允许合法运维和应用IP地址才能访问数据库,其他的IP地址对数据库访问一律禁用;使用数据库防火墙的串联代理方式,隐藏原有数据库的IP地址和端口号,使暴力破解工具无法知道真实数据库的位置;通过数据库防火墙自动化的阻断。