各行業(yè)的企業(yè)、個人、開發(fā)者希望以低成本的方式實現(xiàn)IT運維外包，通過互聯(lián)網云服務器實現(xiàn)快速數(shù)據(jù)分享，充分享受云計算帶來的便利。但是在享受隨時、隨地、隨需的高效云服務的同時，企業(yè)和個人用戶同樣面臨一個不容忽視的問題：企業(yè)重要數(shù)據(jù)和個人隱私數(shù)據(jù)保存在云平臺的數(shù)據(jù)庫中，如果這些數(shù)據(jù)資產丟失將會造成巨大損失。

一、云平臺下暴力破解攻擊現(xiàn)狀

暴力破解攻擊是云用戶面臨的最主要威脅之一，以某云平臺防護的日常安全運營記錄為例，每周黑客對云租戶的暴力破解數(shù)量高達數(shù)億次。下圖是云租戶遭到暴力破解攻擊的趨勢圖：


我們可以看出，從6月初到7月底，某云平臺的租戶被暴力破解攻擊的數(shù)量平均每周在5億次。在這5億次攻擊中，攻擊目標分布如下(7.21-7.27數(shù)據(jù))：

二、數(shù)據(jù)庫暴力破解攻擊原因及途徑分析

隨著應用系統(tǒng)使用時間的增加，數(shù)據(jù)庫里已經存儲了大量的重要數(shù)據(jù)，以數(shù)據(jù)庫為目標進行暴力破解的攻擊占到了近40%。數(shù)據(jù)庫的暴力破解是指黑客通過字典等方式對數(shù)據(jù)庫的超管賬號密碼進行猜測的過程。管理員賬號和密碼是連接數(shù)據(jù)庫的鑰匙，一旦密碼被成功“暴破”，數(shù)據(jù)庫的安全也將不復存在。

數(shù)據(jù)庫被暴力破解成功的主要原因是由于云租戶尤其是很多企業(yè)用戶，在雇傭軟件廠商完成web應用開發(fā)后，沒有專業(yè)技術了解數(shù)據(jù)庫中有哪些運維時留下的賬號，暴力破解嘗試的不僅是管理員密碼和運維賬戶，還有很多數(shù)據(jù)庫自身存在的缺省賬戶，以Oracle為例，各版本缺省口令加在一起能達到700多個，這些賬戶都有可能成為被暴力破解的目標。

再有因為數(shù)據(jù)庫中賬戶口令是加密存儲，而且每個數(shù)據(jù)庫的加密算法不同，如果不借助專業(yè)的工具如安華金和數(shù)據(jù)庫漏掃，云租戶自身也很難發(fā)現(xiàn)數(shù)據(jù)庫中的弱口令，這就給防止數(shù)據(jù)庫的暴力破解帶來了難度。

從數(shù)據(jù)庫被暴力破解的途徑上分析，每個云服務器有內網和外網兩個IP，一個云租戶購買的多個云服務器之間可以模擬內網環(huán)境(如：vLan)互相訪問，外網IP可以通過互聯(lián)網進行訪問。一般情況下，應用服務器通過訪問內網IP連接數(shù)據(jù)庫服務器，數(shù)據(jù)庫維護是通過外網IP從互聯(lián)網進行運維操作。自動化的暴力破解工具一個途徑是直接掃描到外網IP地址，發(fā)現(xiàn)某個缺省端口在提供數(shù)據(jù)庫服務，之后通過對賬戶口令進行猜測。另外一個途徑就是先攻擊應用服務器，之后以應用為跳板掃描數(shù)據(jù)庫賬戶口令。云平臺內網環(huán)境下，云租戶之間的網絡訪問也有可能發(fā)生口令猜測，但是相信云平臺自身的安管平臺和網絡域安全劃分機制已經堵住這個非法訪問途徑。

三、數(shù)據(jù)庫防止被暴力破解的防御手段

云租戶想防止數(shù)據(jù)庫的被暴力破解，安華金和數(shù)據(jù)庫安全專家有三個建議：一是增加數(shù)據(jù)庫賬戶的密碼強度，二是修改數(shù)據(jù)庫的登錄失敗處理方式，三是使用數(shù)據(jù)庫防火墻實現(xiàn)數(shù)據(jù)庫的主動防御。

當然，某些類型數(shù)據(jù)庫的缺省賬戶也是需要進行鎖定或增加賬戶的密碼強度。

如下表所示密碼位數(shù)與自動化工具暴力破解時間關系：


對于數(shù)據(jù)庫的口令暴力破解問題，安華金和的數(shù)據(jù)庫漏掃可以幫助云租戶找到弱口令和缺省賬戶口令，建議口令修改為8位以上，如果核心數(shù)據(jù)庫建議口令修改為10位以上，最好是帶大小寫字母、數(shù)字和特殊字符。安華金和的數(shù)據(jù)庫漏掃還可以發(fā)現(xiàn)數(shù)據(jù)庫的登錄失敗處理安全設置，如最大登陸錯誤次數(shù)和登陸失敗后的鎖定時間，按修復建議進行人工加固。

通過互聯(lián)網IP和被攻陷的應用服務器IP采用自動化暴力破解工具去猜測數(shù)據(jù)庫賬戶，即使是猜測不成功，這種非法的登錄嘗試也會消耗數(shù)據(jù)庫資源，嚴重的時候可能導致數(shù)據(jù)庫宕機。因此，安華金和數(shù)據(jù)庫安全專家建議在數(shù)據(jù)庫之前采用數(shù)據(jù)庫防火墻進行主動防御?？梢酝ㄟ^數(shù)據(jù)庫防火墻實現(xiàn)的安全防護手段有：只允許合法運維和應用IP地址才能訪問數(shù)據(jù)庫，其他的IP地址對數(shù)據(jù)庫訪問一律禁用;使用數(shù)據(jù)庫防火墻的串聯(lián)代理方式，隱藏原有數(shù)據(jù)庫的IP地址和端口號，使暴力破解工具無法知道真實數(shù)據(jù)庫的位置;通過數(shù)據(jù)庫防火墻自動化的阻斷。