微软如何应对Azure中发现的六个“噩梦”云安全漏洞?在云端。在过去的一年里,Azure出现了最多的安全漏洞,也是最严重的漏洞。有史以来最大规模的黑客攻击之一发生在去年夏天,但几乎无人知晓。2021年8月,黑客入侵了MicrosoftAzure公共云平台上一项广泛使用的数据库服务。他们声称可以访问数以千计的客户环境或租户中的数据库,其中包括一些财富500强公司。这是可能的,因为云计算服务在共享基础设施上运行——事实证明,这可以发现一些云计算提供商认为已经解决的共享风险。如果去年夏天人们没有听说过这起事件,那可能是因为闯入微软CosmosDB服务的黑客不是网络犯罪分子。他们是云安全初创公司Wiz的研究人员。研究人员给这个漏洞取了一个好记的名字“ChaosDB”,并报告给了微软。“跨租户”问题在任何真正的攻击者发起攻击之前就被解决了,它的危机也就化解了。但这个惊人的发现让Wiz和其他几家供应商的研究人员想知道这种新型跨租户漏洞到底有多普遍。这导致一个月后在Azure服务中发现了另一个可怕的漏洞,然后是第三个。然后又发现了三个漏洞——在几个月内,在Azure中发现了六个关键漏洞。包括ChaosDB漏洞在内的五个关键漏洞表明有可能危及大量不同的云计算环境或租户。Wiz的研究主管ShirTamari表示,像ChaosDB这样的跨租户漏洞是“可以在云服务提供商中发现的最严重的漏洞”。Tamari指出,Wiz的研究团队并没有寻找这类漏洞,只是偶然发现了ChaosDB。他说,这一发现向研究人员表明,这种问题甚至可能发生在公共云中。安全研究人员还继续在AWS中发现两个严重漏洞。但研究人员表示,在过去的一年里,大多数最严重的漏洞都是在Azure中发现的。对于一些安全研究人员和行业分析师来说,这一系列问题引发了对微软保护其Azure服务的方法的质疑。“这令人担忧。这是一种模式。所以问题是:我们是否相信这是因为他们受到了更多的审查?”还是他们有更多问题?可能两者都有。“云安全服务提供商OrcaSecurity的研究人员发现了Azure服务中的两个跨租户漏洞,这些问题强烈表明Azure无法承受研究人员对AWS和谷歌云施加的同等压力,”YoavAlon说,Orca的首席技术官。Alon表示,“我认为目前在云计算领域与其他供应商相比,他们在安全方面可能有点落后。微软没有对行业媒体的报道发表评论。“安全是Azure的基础,”公司在一份声明中说。客户信任微软在物理数据中心、基础设施和运营中提供多层安全保护,网络安全专家积极监控以保护企业数据。我们通过与研究人员的漏洞奖励不断在内部和外部参与,以发现和解决安全问题,我们积极分享更新和指导。其他研究人员和分析师表示,他们认为这些调查结果并未表明与AWS或谷歌云相比,微软保护其Azure服务的方法有任何弱点。事实上,云计算的基础设施如此复杂以至于像这样的安全问题是不可避免的。“我不认为这有什么可怕的,”比弗说。一种漏洞但是,许多安全专家一致认为,这些问题指向一种新型漏洞,客户在理解云计算风险时基本上没有考虑到这种漏洞。毕竟,在发现这些风险之前,即使是安全研究人员也不认为云平台中的租户隔离存在问题。漏洞赏金平台Bugcrowd创始人兼首席技术官CaseyEllis表示,“我认为可以肯定地说,当他们使用云计算提供商的云计算服务时,很多人会认为这一切都已解决,并且可能会有点惊讶发现它不是。它确实违反了关于云安全的基本假设。如果这个假设是有效的,那么这个假设可能需要重新解决。“IDC安全与信任项目副总裁FrankDickson说,他认为公共云提供商从根本上说是非常安全的,比本地数据中心环境安全得多。迪克森表示,“这是否说明了一类新的漏洞?确实。以这种方式。”与一两年前相比,新冠疫情加速了企业向云计算的迁移,也让更多的客户转向了云计算。严重依赖AWS、Azure和谷歌云。安全专家指出,这放大了跨租户漏洞被利用的可能性。“潜在影响。”很多人非常信任AWS、微软或谷歌,认为他们可以确保没有关键漏洞。”研究机构SynergyResearchGroup发布的调查报告显示,今年一季度,全球云计算基础设施服务支出飙升至近530亿美元,同比增长34%。Azure云平台本季度占据22%的市场份额,落后于亚马逊33%的市场份额,但仍遥遥领先于谷歌云10%的市场份额。环境泄露了1.06亿客户的数据。该公司美国最大银行之一的漏洞在云安全领域敲响了警钟,表明当网络攻击者瞄准公共云时会发生什么。但尽管如此糟糕,漏洞只影响了一家公司。由于云计算的架构,每个企业的数据保持隔离状态,对其他公司不可见。破坏一个客户环境的网络攻击者无法访问客户环境的其余部分。客户通常信任AWS、微软或谷歌等云计算提供商。或者至少认为他们不应该这样做。自去年8月以来发现的一连串公共云漏洞表明,空前规模的攻击是可能的:研究人员表示,如果成功,此类攻击的严重后果可能是CapitalOne漏洞的100或1,000倍。一些网络安全专家表示,值得庆幸的是,到目前为止我们还没有看到这种情况发生。但这也意味着这个问题也没有得到足够的重视,即使在安全社区也是如此。“如果发生灾难性事件,它会得到更多关注,我们正在努力防止这种情况发生,”Alon说。可以用软件供应链攻击来类比,它们基于类似的理由而令人恐惧:妥协单个应用程序可能会导致许多最终客户的损失或影响,例如2020年的SolarWinds网络攻击。公共云尚未看到类似的情况SolarWinds不过,研究人员表示,如果网络攻击者最先发现其中一个最近的漏洞,情况可能会有所不同。云安全专家ScottPiper表示,这是2021年8月至2021年期间值得关注的“关键”问题。2022年1月,安全研究人员在主要云服务平台中发现了八个“关键”漏洞,在GitHub上编制了一长串问题清单。Piper的统计数据显示,自去年夏天以来,Azure云平台已经发现了6个严重漏洞,而亚马逊云平台上有两个,谷歌云平台上没有一个。由于公共云漏洞通常被排除在常见漏洞和暴露系统之外,因此大多数这些问题都没有被官方指定严重等级。根据自己的评估,Piper将严重性评级归因于迄今为止披露的53个公共云问题,从“低”到“严重”不等。Wiz指出Piper的工作是关于这些公共云问题的权威文件。Piper可能与研究人员和供应商本身以外的任何人一样熟悉最近大量的公共云漏洞。让他印象深刻的是,研究人员已经反复证明了在Azure服务上启用跨租户访问的能力。相比之下,由于这两个最近发现的影响AWS的严重漏洞。“如果他们深入挖掘,他们似乎能够获得跨租户访问,但通过Azure,他们实际上证明了这一点,”派珀说。在ChaosDB之后,下一个被发现的Azure严重漏洞是Azure容器即服务平台上的跨租户访问。帐户接管漏洞。它是由PaloAltoNetworks的Unit42小组的研究人员发现的,并被命名为“Azurescape”。“跨帐户漏洞通常被描述为公共云的‘噩梦’场景。Azurescape证明它们比我们想象的更真实,”PaloAltoNetworks首席安全研究员YuvalAvrahami去年9月在一篇博客文章中写道。从那时起,这方面的证据不断积累。在接下来的几个月里,在Azurescape漏洞之后又出现了Azure服务中的三个跨租户漏洞。OrcaSecurity研究人员发现了影响Azure自动化服务的“AutoWarp”和影响AzureSynapse分析服务的“SynLapse”。Wiz研究人员表示,它会影响PostgreSQLFlexibleServer的Azure数据库。Wiz发现的另一个名为“OMIGOD”的严重Azure漏洞无法实现跨租户访问。但这对客户来说比其他问题更直接:该漏洞影响了一系列面向客户的Azure服务,并在去年秋天被网络攻击者广泛利用。相比之下,不知道是否有其他最近的Azure漏洞被利用。您只有一份工作:云客户的安全团队在防止云中的跨租户漏洞方面无能为力。Forrester首席分析师LeeSustar表示,这些问题显然超出了任何客户的能力范围,他们只能依赖他们的云计算提供商。所有主要的公共云平台都使用某种形式的“责任共担”模型,在供应商和客户之间划分安全责任。根据该计划,供应商承诺保护底层基础设施。客户有责任保护自己的数据和应用程序。Sustar指出,跨租户漏洞肯定属于共享责任模型的供应商一方。相比之下,对于过去的云计算泄露事件,例如CapitalOne数据泄露事件,责任主要在客户一方。网络安全服务提供商FireMon的云安全高级副总裁Mogull表示,确保租户隔离是云计算服务提供商安全职责的重中之重。“就像‘你只有一份工作’,对任何云提供商来说,没有比这更大的风险或担忧了,”他说。尽管如此,尽管云平台在安全性方面并不完美,但在许多方面也并不完美。但是,它们仍然比使用数据中心更安全。Mogull说:“我是云计算的大力支持者,我认为每个人都应该将所有能够迁移到云端的东西都迁移到云端。”Luttwak表示,对于Wiz来说,漏洞研究的目标只是帮助客户了解公有云中确实存在隔离问题。Luttwak在2020年共同创立了这家云安全初创公司之前曾担任微软公司以色列研发部门的首席技术官。“过去我们认为这还不够。作为云计算提供商的用户,我们真的需要问他们这样的问题,‘什么是隔离模式?你如何确保隔离?’”他说。主管JasmineHenry表示,鉴于客户数据隔离是安全云计算的“绝对核心原则”,业界现在才发现需要有关云计算提供商使用的隔离架构的文档。Henry说,云计算供应商必须找到一种方法来证明他们的隔离,而无需支付太多费用,也不会产生进一步的安全风险。她说。“作为一个行业,我认为这些是我们正在学习的东西。”从角度来看,Luttwak表示,在Azure中发现的大量跨租户漏洞甚至可以被视为一件好事。他说,微软鼓励此类研究,并为发现Azure漏洞提供高达60,000美元的奖金。Luttwak说,“存在漏洞的事实并不意味着整个平台不安全。我认为不能说Azure比其他产品更安全。这是一个很好的问题,但我不认为任何人都有数据可以说明这一点。”2019年创立咨询公司PrincipleLogic的2001Beaver表示,Azure的缺陷似乎更像是微软走运,成为安全研究对象的案例。“这些事情随时可能发生在任何企业身上,”他说。微软的声明称,其安全团队正在全天候工作,以识别和缓解潜在的安全问题。我们还通过协调漏洞披露与安全研究社区合作,以确保潜在的安全问题在公开披露之前被发现和缓解。也就是说,Wiz的研究团队和OrcaSecurity的公共云漏洞研究团队都表示,他们投入了相似的时间来寻找AWS、Azure和谷歌云中存在严重跨租户漏洞的问题。当然,没有人会争辩说安全性被排除在MicrosoftAzure服务的设计考虑之外。不过,多位云计算安全专家表示,从目前的漏洞研究来看,似乎漏掉了某些允许用户绕过租户隔离的使用场景。身份验证和授权问题是许多关键Azure漏洞的主题。“人们对系统过于信任,”威胁研究服务InvisibleThreat的所有者兼首席研究员斯科特沃尔什说。Walsh说,对于关键的ChaosDB漏洞,微软似乎首先检查授权,但随后假设信任,这使得网络攻击者能够在授权的初始阶段之后获得对其他租户的访问权限。“基本上,如果你对这个云实例有足够的信任,你就会对那个实例中的一切都有足够的信任。这在多租户共享环境中还不够好,”他说。WizResearch人员报告说,通过利用CosmosDB服务中的一系列错误配置,他们能够不受限制地访问网络并获得许多可用于管理数据库服务的“秘密”(私钥和证书).据OrcaSecurity称,SynLapse并非如此。OrcaSecurity的研究人员于1月首次在AzureSynapse服务中发现了该漏洞,但该漏洞是在微软于今年3月宣布后发布的,联合创始人兼首席执行官AviShua在5月9日的博客文章中写道。在4月份部署补丁后,研究人员仍然能够在4月份绕过租户分离问题。“我们认为该架构包含潜在的弱点,应该通过更强大的租户分离机制来解决,”Shua在帖子中说。未受影响的客户Navisite的CEOMarkClayman表示,到目前为止,跨租户Azure漏洞的发现并未引起客户的重大担忧,Navisite提供云战略和迁移服务,并持有顶级的AzureExpertMSP认证。Clayman表示,客户在采用Azure时并没有犹豫,至少部分原因是调查结果相对较新,而且到目前为止还没有发生跨租户违规行为。他说,另一个因素可能是“更精通技术”的客户更有可能关注AWS或谷歌云。“我只是发现更传统、更保守的公司倾向于使用Azure,”Clayman说。IDC的迪克森表示,他最近采访过的客户也没有对Azure的严重漏洞表示任何担忧。因此,在这个问题上,客户对微软的压力似乎很小。尽管如此,Forrester的Sustar表示,虽然客户过去可能认为跨租户问题是“低级风险”,但当他们对最近的调查结果了解更多时,他们可能会重新评估这一点。OrcaSecurity的Alon表示,Microsoft今天产生的收入与其做出的安全承诺类型之间似乎存在差异。“如果有一个平台可以产生数十亿美元并承诺安全但交付不足,那么其中一些钱可以用于提高安全性,”他说。微软是世界上最大的公司之一。如果他们选择这样做,并将其作为首要任务,他们可以做出令人惊奇的事情。”沃尔什说,解决潜在问题可能始于更好地处理这些Azure服务中的边界。然后,微软可能希望慢慢地、迭代地改变服务TrustedComputing2.0?Alon表示,他相信微软将能够改善围绕安全漏洞的情况。Azure服务。他指出微软扭转安全局面的记录,可追溯到2002年其著名的“信任计算”备忘录。在给微软员工的一份内部备忘录中,比尔盖茨承诺将微软产品的安全放在首位,领导多年来在提高安全性方面取得了长足的进步。微软现在可能正在接近云安全方面的类似时刻,Alon说。他补充说,人们怀疑该公司已经做出了c内部挂起以防止未来出现Azure安全问题。阿隆说,“但改变需要时间,我们会在接下来的几个月和几年内看到更多的变化。”Mogull表示,近年来,微软通过一系列非常积极的举措证明了其对网络安全的承诺。承诺,这也令人鼓舞。以微软为例,近年来在打击“全球民族国家僵尸网络”方面功不可没。4月,微软披露了其在摧毁ZLoader僵尸网络方面的作用,ZLoader僵尸网络是网络犯罪分子用来执行包括勒索软件在内的攻击的受感染计算机网络。总的来说,他们的安全性非常好,Mogull说。但谈到Azure安全性时,他说,“我只是希望它变得更好。而且我认为微软可以做到。”
