各行業(yè)的企業(yè)、個(gè)人、開(kāi)發(fā)者希望以低成本的方式實(shí)現(xiàn)IT運(yùn)維外包，通過(guò)互聯(lián)網(wǎng)云服務(wù)器實(shí)現(xiàn)快速數(shù)據(jù)分享，充分享受云計(jì)算帶來(lái)的便利。但是在享受隨時(shí)、隨地、隨需的高效云服務(wù)的同時(shí)，企業(yè)和個(gè)人用戶(hù)同樣面臨一個(gè)不容忽視的問(wèn)題：企業(yè)重要數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)保存在云平臺(tái)的數(shù)據(jù)庫(kù)中，如果這些數(shù)據(jù)資產(chǎn)丟失將會(huì)造成巨大損失。

一、云平臺(tái)下暴力破解攻擊現(xiàn)狀

暴力破解攻擊是云用戶(hù)面臨的最主要威脅之一，以某云平臺(tái)防護(hù)的日常安全運(yùn)營(yíng)記錄為例，每周黑客對(duì)云租戶(hù)的暴力破解數(shù)量高達(dá)數(shù)億次。下圖是云租戶(hù)遭到暴力破解攻擊的趨勢(shì)圖：


我們可以看出，從6月初到7月底，某云平臺(tái)的租戶(hù)被暴力破解攻擊的數(shù)量平均每周在5億次。在這5億次攻擊中，攻擊目標(biāo)分布如下(7.21-7.27數(shù)據(jù))：

二、數(shù)據(jù)庫(kù)暴力破解攻擊原因及途徑分析

隨著應(yīng)用系統(tǒng)使用時(shí)間的增加，數(shù)據(jù)庫(kù)里已經(jīng)存儲(chǔ)了大量的重要數(shù)據(jù)，以數(shù)據(jù)庫(kù)為目標(biāo)進(jìn)行暴力破解的攻擊占到了近40%。數(shù)據(jù)庫(kù)的暴力破解是指黑客通過(guò)字典等方式對(duì)數(shù)據(jù)庫(kù)的超管賬號(hào)密碼進(jìn)行猜測(cè)的過(guò)程。管理員賬號(hào)和密碼是連接數(shù)據(jù)庫(kù)的鑰匙，一旦密碼被成功“暴破”，數(shù)據(jù)庫(kù)的安全也將不復(fù)存在。

數(shù)據(jù)庫(kù)被暴力破解成功的主要原因是由于云租戶(hù)尤其是很多企業(yè)用戶(hù)，在雇傭軟件廠商完成web應(yīng)用開(kāi)發(fā)后，沒(méi)有專(zhuān)業(yè)技術(shù)了解數(shù)據(jù)庫(kù)中有哪些運(yùn)維時(shí)留下的賬號(hào)，暴力破解嘗試的不僅是管理員密碼和運(yùn)維賬戶(hù)，還有很多數(shù)據(jù)庫(kù)自身存在的缺省賬戶(hù)，以O(shè)racle為例，各版本缺省口令加在一起能達(dá)到700多個(gè)，這些賬戶(hù)都有可能成為被暴力破解的目標(biāo)。

再有因?yàn)閿?shù)據(jù)庫(kù)中賬戶(hù)口令是加密存儲(chǔ)，而且每個(gè)數(shù)據(jù)庫(kù)的加密算法不同，如果不借助專(zhuān)業(yè)的工具如安華金和數(shù)據(jù)庫(kù)漏掃，云租戶(hù)自身也很難發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的弱口令，這就給防止數(shù)據(jù)庫(kù)的暴力破解帶來(lái)了難度。

從數(shù)據(jù)庫(kù)被暴力破解的途徑上分析，每個(gè)云服務(wù)器有內(nèi)網(wǎng)和外網(wǎng)兩個(gè)IP，一個(gè)云租戶(hù)購(gòu)買(mǎi)的多個(gè)云服務(wù)器之間可以模擬內(nèi)網(wǎng)環(huán)境(如：vLan)互相訪問(wèn)，外網(wǎng)IP可以通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)。一般情況下，應(yīng)用服務(wù)器通過(guò)訪問(wèn)內(nèi)網(wǎng)IP連接數(shù)據(jù)庫(kù)服務(wù)器，數(shù)據(jù)庫(kù)維護(hù)是通過(guò)外網(wǎng)IP從互聯(lián)網(wǎng)進(jìn)行運(yùn)維操作。自動(dòng)化的暴力破解工具一個(gè)途徑是直接掃描到外網(wǎng)IP地址，發(fā)現(xiàn)某個(gè)缺省端口在提供數(shù)據(jù)庫(kù)服務(wù)，之后通過(guò)對(duì)賬戶(hù)口令進(jìn)行猜測(cè)。另外一個(gè)途徑就是先攻擊應(yīng)用服務(wù)器，之后以應(yīng)用為跳板掃描數(shù)據(jù)庫(kù)賬戶(hù)口令。云平臺(tái)內(nèi)網(wǎng)環(huán)境下，云租戶(hù)之間的網(wǎng)絡(luò)訪問(wèn)也有可能發(fā)生口令猜測(cè)，但是相信云平臺(tái)自身的安管平臺(tái)和網(wǎng)絡(luò)域安全劃分機(jī)制已經(jīng)堵住這個(gè)非法訪問(wèn)途徑。

三、數(shù)據(jù)庫(kù)防止被暴力破解的防御手段

云租戶(hù)想防止數(shù)據(jù)庫(kù)的被暴力破解，安華金和數(shù)據(jù)庫(kù)安全專(zhuān)家有三個(gè)建議：一是增加數(shù)據(jù)庫(kù)賬戶(hù)的密碼強(qiáng)度，二是修改數(shù)據(jù)庫(kù)的登錄失敗處理方式，三是使用數(shù)據(jù)庫(kù)防火墻實(shí)現(xiàn)數(shù)據(jù)庫(kù)的主動(dòng)防御。

當(dāng)然，某些類(lèi)型數(shù)據(jù)庫(kù)的缺省賬戶(hù)也是需要進(jìn)行鎖定或增加賬戶(hù)的密碼強(qiáng)度。

如下表所示密碼位數(shù)與自動(dòng)化工具暴力破解時(shí)間關(guān)系：


對(duì)于數(shù)據(jù)庫(kù)的口令暴力破解問(wèn)題，安華金和的數(shù)據(jù)庫(kù)漏掃可以幫助云租戶(hù)找到弱口令和缺省賬戶(hù)口令，建議口令修改為8位以上，如果核心數(shù)據(jù)庫(kù)建議口令修改為10位以上，最好是帶大小寫(xiě)字母、數(shù)字和特殊字符。安華金和的數(shù)據(jù)庫(kù)漏掃還可以發(fā)現(xiàn)數(shù)據(jù)庫(kù)的登錄失敗處理安全設(shè)置，如最大登陸錯(cuò)誤次數(shù)和登陸失敗后的鎖定時(shí)間，按修復(fù)建議進(jìn)行人工加固。

通過(guò)互聯(lián)網(wǎng)IP和被攻陷的應(yīng)用服務(wù)器IP采用自動(dòng)化暴力破解工具去猜測(cè)數(shù)據(jù)庫(kù)賬戶(hù)，即使是猜測(cè)不成功，這種非法的登錄嘗試也會(huì)消耗數(shù)據(jù)庫(kù)資源，嚴(yán)重的時(shí)候可能導(dǎo)致數(shù)據(jù)庫(kù)宕機(jī)。因此，安華金和數(shù)據(jù)庫(kù)安全專(zhuān)家建議在數(shù)據(jù)庫(kù)之前采用數(shù)據(jù)庫(kù)防火墻進(jìn)行主動(dòng)防御?？梢酝ㄟ^(guò)數(shù)據(jù)庫(kù)防火墻實(shí)現(xiàn)的安全防護(hù)手段有：只允許合法運(yùn)維和應(yīng)用IP地址才能訪問(wèn)數(shù)據(jù)庫(kù)，其他的IP地址對(duì)數(shù)據(jù)庫(kù)訪問(wèn)一律禁用;使用數(shù)據(jù)庫(kù)防火墻的串聯(lián)代理方式，隱藏原有數(shù)據(jù)庫(kù)的IP地址和端口號(hào)，使暴力破解工具無(wú)法知道真實(shí)數(shù)據(jù)庫(kù)的位置;通過(guò)數(shù)據(jù)庫(kù)防火墻自動(dòng)化的阻斷。