许多安全研究人员一致认为,跨租户漏洞是一种客户需要注意的新型风险,这种风险不应该发生在云中。
在过去的一年里,Azure发现了最多的安全漏洞,也是最严重的漏洞。有史以来最大的黑客攻击事件之一发生在去年夏天,几乎没有人注意到。
2021年8月,黑客侵入了微软Azure公有云平台上广泛使用的数据库服务。他们声称可以访问数千个客户环境或租户中的数据库,其中包括一些财富500强公司的数据库。这是可能的,因为云计算服务在共享基础设施上运行——事实证明,这可以发现一些云计算提供商认为已经解决的共享风险。
如果人们没有听说去年夏天的这起事件,那可能是因为入侵微软Cosmos DB服务的黑客并不是网络罪犯。他们是云安全初创厂商Wiz公司的研究人员。研究人员给该漏洞起了一个令人难忘的名字“ChaosDB”,并将其报告给了微软。“跨租户”问题在任何实际攻击者攻击之前就已修复,其危机得以化解。
但这一惊人的发现让Wiz公司和其他几家供应商的研究人员很想知道这种新型跨租户漏洞到底有多普遍。这导致一个月后在Azure服务中发现了另一个可怕的漏洞,然后又出现第三个漏洞。然后又发现另外三个漏洞——而在几个月内在Azure发现六个关键漏洞。
包括ChaosDB漏洞在内,其中五个关键漏洞表明有可能破坏大量不同的云计算环境或租户。Wiz公司研究主管Shir Tamari表示,像ChaosDB这样的跨租户漏洞是“在云服务提供商中可能发现的最严重的漏洞。”
Tamari指出,Wiz公司的研究团队并没有寻找这种类型的漏洞,只是偶然发现了ChaosDB。他说,这一发现向研究人员揭示了这种问题甚至在公有云中也有可能发生。
安全研究人员还将继续发现AWS中的两个关键漏洞。但研究人员表示,在过去一年中,大部分最严重的漏洞都是在Azure中发现的。对于一些安全研究人员和行业分析师来说,这一系列问题引发了对微软公司保护其Azure服务的方法的质疑。
独立安全研究机构Securosis公司首席执行官兼长期安全行业分析师Rich Mogull说,“这很令人担忧。这是一种模式。所以问题是:我们是否相信这是因为他们受到了更严格的审查?还是他们有更多的问题?可能两者兼而有之。”
Orca公司首席技术官Yoav Alon表示,云安全服务商Orca Security公司的研究人员在Azure服务中发现了两个跨租户漏洞,这些问题强烈表明Azure公司无法承受研究人员施加的与AWS和GoogleCloud相同程度的压力。
Alon说,“我认为目前在云计算领域与其他供应商相比,他们可能在安全性方面有些落后。”
微软公司并没有对行业媒体的报道发表评论。
该公司在一份声明中表示,“安全性是Azure的基础。客户信任微软公司跨物理数据中心、基础设施和运营提供的多层安全性,网络安全专家积极监控以保护企业的数据。我们通过与研究人员的漏洞赏金不断地在内部和外部参与发现并修复安全问题,我们积极分享更新和指导。”
其他研究人员和分析师表示,他们不认为这些发现表明微软公司在保护其Azure服务的方法上与AWS或谷歌云相比存在任何弱点。
独立信息安全顾问Kevin Beaver表示,事实上,云计算基础设施非常复杂,这样的安全问题是不可避免的。Beaver 说,“我不认为这有什么可怕的。”
一种新的漏洞
然而,许多安全专家都认为,这些问题指向一种新型漏洞,客户在很大程度上没有考虑到他们对云计算风险的理解。毕竟,在发现这些风险之前,即使是安全研究人员也不认为云平台中的租户隔离存在问题。
漏洞赏金平台Bugcrowd 公司创始人兼首席技术官Casey Ellis说,“我认为可以肯定的是,当他们使用云计算提供商的云计算服务时,很多人会认为这一切都已经解决,如果发现不是,可能会有点惊讶。它确实违反了人们对云安全的基本假设。如果这个假设在起作用,那么可能需要重新解决这个假设。”
IDC公司安全与信任项目副总裁Frank Dickson表示,他认为公有云提供商根本上来说非常安全,远比内部部署数据中心环境更安全。
Dickson说,“这是否说明了一类新的漏洞?确实如此。”
与一两年前相比,新冠疫情使企业加速向云计算的迁移,也使得更多的客户现在严重依赖AWS、Azure和谷歌云。安全专家指出,这放大了被利用的跨租户漏洞的潜在影响。
美国情报机构前渗透测试人员、现为网络安全服务商Deepwatch公司创始人兼副总裁Patrick Orzechowski说,“很多人对AWS、微软或谷歌十分信任,并认为他们可以确保基础设施中没有重大漏洞。”
根据研究机构Synergy Research集团发布的调查报告,今年第一季度,全球云计算基础设施服务支出飙升至近530亿美元,同比增长34%。Azure云平台在本季度占据了22%的市场份额,落后于亚马逊33%的市场份额,但仍远远领先于谷歌云10%的市场份额。
攻击云平台
2019年年中,针对CapitalOne公司的AWS云环境的网络攻击泄露了1.06亿客户的数据。这家美国最大的银行之一的违规事件为云安全领域敲响了警钟,显示了当网络攻击者以公有云为目标时可能发生的情况。
但尽管情况很糟糕,这次违规只影响了一家公司。由于云计算的架构,每家企业的数据都与其他公司保持隔离和不可见。破坏某个客户环境的网络攻击者无法访问其余客户的环境。
客户通常很信任AWS、微软或谷歌这些云计算供应商。
或者至少认为他们不应该这样做。自从去年8月以来发现的一系列公有云漏洞表明,可能会发生前所未有的大规模攻击:研究人员表示,如果此类攻击获得成功,其带来的严重程度可能是CapitalOne公司泄漏事件的100或1000倍。
一些网络安全专家表示,值得庆幸的是,到目前为止还没有看到这种情况发生。但这也意味着这个问题也没有得到足够的关注,即使是在安全社区。
Alon说,“如果发生灾难性的事情,它将得到更多的关注,我们正在努力防止这种灾难性的情况发生。”
可以对软件供应链攻击进行类比,这些攻击基于类似的理由令人恐惧:破坏单个应用程序可能会导致许多最终客户遭受损失或影响,例如2020年的SolarWinds网络攻击。公有云尚未出现SolarWinds这样的攻击,但研究人员的表示,如果网络攻击者首先发现了其中一个最近的漏洞,那么情况可能会有所不同。
令人关注的“关键”问题
云安全专家Scott Piper表示,在2021年8月至2022年1月期间,安全研究人员在主要云服务平台上共发现了8个 “严重”的漏洞,他在GitHub上编制了一份冗长的问题清单。Piper的统计表明,自从去年夏天以来,Azure云平台已经发现了六个关键漏洞,相比之下,亚马逊的云平台上有两个关键漏洞,谷歌云平台上没有关键漏洞。
由于公有云漏洞通常被排除在常见漏洞和暴露系统之外,因此这些问题中的大多数都没有被官方授予严重性评级。Piper根据自己的评估,将严重性评级归因于迄今为止已披露的53个公有云问题,从“低”到“严重”不等。Wiz公司指出Piper的工作是这些公有云问题的权威文档。
除了研究人员和供应商本身之外,Piper可能和任何人一样熟悉最近一连串的公有云漏洞。对他来说,最引人注目的是研究人员已经反复证明了在Azure服务上实现跨租户访问的能力。
相比之下,由于这两个最近发现的影响AWS的严重漏洞。Piper说,“如果他们深入挖掘,似乎能够获得跨租户访问,但通过Azure,他们实际上证明了这一点。”
在ChaosDB之后,下一个要发现的严重Azure漏洞是Azure容器即服务平台上的跨账户接管漏洞。它是由Palo Alto Networks公司的Unit42小组的研究人员发现的,并被称为“Azurescape”。
Palo Alto Networks公司首席安全研究员Yuval Avrahami在去年9月发表的一篇博客文章中写道:“跨账户漏洞通常被描述为公有云的‘噩梦’场景。Azurescape证明它们比我们想象的更真实。”
从那以后,这方面的证据不断积累。在接下来的几个月中,在Azurescape错误出现之后,又出现了Azure服务中的三个额外的跨租户漏洞。Orca Security公司研究人员发现了影响Azure自动化服务的“AutoWarp”和影响AzureSynapse分析服务的“SynLapse”。Wiz公司研究人员表示,它影响了PostgreSQL Flexible Server的Azure数据库。
由Wiz公司发现的另一个被称为“OMIGOD”的严重Azure漏洞没有启用跨租户访问。但与其他漏洞相比,它对客户来说是更直接的问题:该漏洞影响了客户的一系列Azure服务,并在去年秋天被网络攻击者广泛利用。相比之下,目前还不知道其他Azure最近的漏洞是否被利用。
你只有一份工作
在防止云中的跨租户漏洞方面,云客户的安全团队无能为力。Forrester公司首席分析师Lee Sustar表示,这些问题显然超出了任何客户的能力范围,他们只能依赖于他们的云计算提供商。
所有主要的公有云平台都使用某种形式的“责任共担”模型,在供应商和客户之间划分安全职责。根据该计划,供应商承诺保护底层基础设施。客户负责保护自己的数据和应用程序。
Sustar指出,跨租户漏洞无疑属于责任共担模型的供应商一方。相比之下,对于过去的云计算违规事件,例如CapitalOne数据泄露事件,责任主要在客户方面。
网络安全服务商FireMon公司的云安全高级副总裁Mogull表示,确保租户隔离在云计算服务提供商的安全责任中名列前茅。他说,“就像‘你只有一份工作’一样,对于任何云计算提供商来说,没有更大的风险或担忧。”
尽管如此,尽管云平台在安全性方面并不完美,但在许多情况下,它们仍将比使用数据中心更安全。Mogull说,“我是云计算的坚定支持者,我认为每个人都应该把他们能做的一切都迁移到云平台上。”
Luttwak表示,对于Wiz公司来说,漏洞研究的目标只是帮助客户了解公有云中确实存在隔离问题。Luttwak公司曾是微软公司以色列分公司研发部门的首席技术官,后来于2020年共同创立了这家云安全初创公司。
他说:“这是我们过去认为不够的。作为云计算提供商的用户,我们确实需要问他们这样的问题,‘什么是隔离模型?如何确保隔离?’”
网络安全服务商JupiterOne公司的现场安全总监Jasmine Henry表示,鉴于客户数据隔离是安全云计算的“绝对核心原则”,业界现在才发现需要有关云计算提供商使用的隔离架构的文档。Henry表示说,云计算提供商必须找到一种方法来证明其隔离性,而不必付出太多代价,也不会造成进一步的安全风险。
她说。“作为一个行业,我认为这些都是我们正在学习的东西。”
观点问题
Luttwak表示,在Azure中发现的一系列跨租户漏洞甚至可以被视为一件好事。他说,微软公司鼓励此类研究,并为发现Azure漏洞提供高达6万美元的奖金。
Luttwak说,“存在漏洞的事实并不意味着整个平台不安全。我不认为可以声称Azure比其他产品更安全。这是一个很好的问题,但我认为没有人有数据可以这么说。”
2001年创立了咨询公司Principle Logic公司的Beaver说,Azure中出现的漏洞似乎更像是微软公司运气不佳并成为安全研究的目标的问题。
他说,“这些事情随时可能发生在任何企业身上。”
微软公司的声明中表示,其安全团队全天候工作,以识别和缓解潜在的安全问题。还通过协调漏洞披露与安全研究界合作,确保在公开披露潜在安全问题之前发现并缓解这些问题。
尽管如此,Wiz公司的研究团队和Orca Security公司的公有云漏洞研究团队都表示,他们已经投入了类似的时间来寻找AWS、Azure和Google云中的问题,Azure中主要存在严重的跨租户漏洞。
当然,没有人会认为安全性被排除在Microsoft Azure服务的设计考虑之外。但多位云计算安全专家表示,根据目前的漏洞研究,似乎遗漏了某些允许用户绕过租户隔离的使用场景。
身份验证和授权问题是许多关键Azure漏洞的主题。威胁研究服务商Invisible Threat公司的所有者兼首席研究员Scott Walsh说:“这个系统承载了太多的信任。”
Walsh说,对于ChaosDB关键漏洞,微软公司似乎在检查授权的第一步,但随后假设信任,这使得网络攻击者能够在授权的初始阶段之后获得对其他租户的访问权限。
他说:“基本上看起来,如果有足够的信任进入这个云实例,那么你在这个实例中的每件事都有足够的信任。在多租户共享环境中,这还不够好。”
Wiz研究人员报告说,通过利用CosmosDB服务中的一系列错误配置,他们能够不受限制地访问网络并获得许多“秘密”(私钥和证书)可用于管理数据库服务。
Orca Security公司表示,SynLapse并非如此。该公司联合创始人兼首席执行官Avi Shua在5月9日的一篇博客文章中写道,Orca Security公司的研究人员于1月首次发现Azure Synapse服务中的漏洞,但在微软公司在今年3月部署补丁之后,研究人员在4月仍然能够绕过租户分离的问题。
Shua在帖子中说,“我们认为该架构包含潜在的弱点,应该通过更强大的租户分离机制来解决这些问题。”
未受影响的客户
Navisite公司首席执行官Mark Clayman表示,到目前为止,跨租户Azure漏洞的发现并未引起客户的重大担忧,Navisite公司提供云战略和迁移服务,并持有顶级Azure Expert MSP认证。Clayman表示,在采用Azure方面,客户并没有暂停,至少部分原因是这些发现是相对较新的,到目前为止还没有发生跨租户违规行为。
他说,另一个因素可能是“更精通技术”的客户更有可能专注于AWS或谷歌云。Clayman说,“我只是发现更传统、更保守的公司更倾向于Azure。”
IDC公司的Dickson表示,他最近与之交谈的客户也没有对Azure的关键漏洞表示任何担忧。因此,客户在这个问题上对微软公司的压力似乎很小。
尽管如此,Forrester公司的Sustar表示,尽管客户过去可能认为跨租户问题是“低级风险”,但在他们可能会在了解最近的调查结果时重新评估这一点。
OrcaSecurity公司的Alon说,如今的微软公司产生的资金数量和它做出的安全承诺类型之间似乎存在差异。
他说,“如果有一个平台可以产生数十亿美元的收入,并承诺安全,但交付不足,那么可以将其中的一些资金用于提高安全性。而微软是世界上规模最大的公司之一。如果选择这样做,并且将其作为最高优先级,他们就可以做出令人惊奇的事情。”
Walsh表示,解决潜在问题可能首先需要更好地处理这些Azure服务中的边界。然后,微软公司可能希望随着时间的推移缓慢地、迭代地改变服务架构,以带来更加云原生的身份和访问管理风格。
他说,“这可能还会有一段时间会面临困难。”
可信计算2.0?
Alon表示,相信微软公司将能够改善围绕Azure服务漏洞的情况。他指出,微软公司在扭转安全方面有着良好的记录,这可以追溯到2002年著名的“可信赖计算”备忘录。在给微软员工的内部备忘录中,比尔·盖茨承诺将微软产品的安全放在更高的优先级,导致多年来在提高安全性方面取得了很大进步。
Alon表示,微软公司现在可能正在接近与云安全类似的时刻。他补充说,怀疑该公司已经在内部进行了更改以阻止未来的Azure安全问题。
Alon说,“但改变需要时间。我们将在接下来的几个月和几年内看到更多的改变。”
Mogull表示,近年来,微软公司通过一系列非常积极的举措证明了其对网络安全的承诺,这也令人鼓舞。
例如,微软公司近年来在打击“全球民族国家级僵尸网络”方面值得称赞。在今年4月,微软公司披露了其在摧毁ZLoader僵尸网络中的作用,这是一个由网络犯罪分子用来执行包括勒索软件在内的攻击的受感染计算机网络。
Mogull表示,总体而言,它们具有出色的安全性。但谈到Azure的安全性,他说,“我只是希望它变得更好。而且我认为微软公司可以做到。”