你的數據安全麽?Hadoop再曝安全漏洞| 黑客利用Hadoop Yarn資源管理系統未授權訪問漏洞
4月30日,阿裏雲發現,俄羅斯黑客利用Hadoop Yarn資源管理系統REST API未授權訪問漏洞進行攻擊。
Hadoop是一款由Apache基金會推出的分布式系統框架,它通過著名的 MapReduce 算法進行分布式處理,Yarn是Hadoop集群的資源管理系統。
此次事件主要因Hadoop YARN 資源管理系統配置不當,導致可以未經授權進行訪問,從而被攻擊者惡意利用。攻擊者無需認證即可通過REST API部署任務來執行任意指令,最終完全控制服務器。
利用方式還原及趨勢判斷
1、通過對比分析,阿裏雲安全專家觀察到,與之前Redis、CouchDB事件相比,Hadoop作為一個分布式計算應用程序框架,讓其更容易被“攻陷”,因為:
Hadoop種類和功能繁多,各種組件安全問題,可能會帶來更大的攻擊面;
針對某一個薄弱點的攻擊,可能通過該框架分布式的特性,迅速擴散到所有節點。
2、灰黑產的入侵變現的手段,正在從入侵利用雲上普通主機資源挖礦獲利(Web服務器、數據庫服務器等),轉向攻擊專用算力應用,以竊取更大的算力進行挖礦獲利轉變(如Hadoop等分布式計算平臺)。從本次樣本的分析來看,利用專用算力應用來攻擊變現的方式,還處在早期的測試階段;隨著加密貨幣的進一步繁榮,該類型的攻擊風險將會愈發凸顯。
總的來說,灰黑產對經濟利益的渴求,推動著這個行業的變遷升級。隨著加密貨幣市場熱度的攀升,入侵挖礦的灰色產業,也會隨之擴大;挖礦這種最有效變現手段對算力不斷擴大的需求,必然引導灰黑產的攻擊目標逐步轉向更高算力的產品和服務。
因此,阿裏雲安全專家建議,不論是SaaS化服務的算力產品提供商,還是算力的最終使用者,都應該更加的關註安全問題,只有在發展自己的業務的同時切實加強安全水平,才能保障業務長期健康穩定的發展。
安全建議
針對此類大規模攻擊,阿裏雲平臺已可默認攔截,降低漏洞對用戶的直接影響;
如果企業希望徹底解決Hadoop安全漏洞,推薦企業使用阿裏雲MaxCompute (8年以上“零”安全漏洞)存儲、加工企業數據;
阿裏雲數加MaxCompute(原名ODPS)設計之初就是面向多租戶,確保租戶的數據安全是MaxCompute的必備功能之一。在MaxCompute系統的安全設計和實現上,MaxCompute的工程師們會遵循一些經過實踐檢驗的安全設計原則(如Saltzer-Schroeder原則)。在常用密碼算法及安全協議的設計和實現上,也會遵循業界相關標準(如PKCS-及FIPS-系列標準),並堅持最佳安全實踐。
這裏從如下幾個方面來解刨一下MaxCompute的安全特性,讓關心MaxCompute數據安全的讀者有一個基本的了解。更多產品信息請訪問https://www.aliyun.com/product/odps 。
1. API認證
認證是一個服務的安全入口。MaxCompute認證采用業界標準的API認證協議來實現,如HmacSHA1。MaxCompute還提供HTTP和HTTPS兩種的EndPoint以滿足用戶對認證安全的不同要求。HTTP EndPoint是明文傳輸,那麽HmacSHA1認證只能保證消息請求的真實性(Authenticity)和完整性(Integrity),適合於對數據安全不太敏感的用戶。HTTPS EndPoint則能提供更多的安全性,比如信道加密,抗重放攻擊等。適合於對數據安全比較敏感的用戶。
2. 訪問控制
當你創建項目空間後,你就是項目空間的owner。一個項目空間只有一個owner,只有owner對項目空間有完全控制權限。你可以上傳/下載數據、提交SQL進行數據處理。在沒有你的授權的情況下,任何其他用戶都無權訪問你的項目空間。 註意,MaxCompute平臺並沒有超級管理員的角色,所以MaxCompute的開發、測試、運維同學都是沒有權限看到用戶數據的。有人會問了,通過MaxCompute背後的運維管理控制臺也不能訪問用戶數據嗎?的確不能。運維同學只有在獲得內部授權之後,可以通過該控制臺來執行一些運維管理類操作,比如停止一個有惡意行為的用戶作業,但該控制臺沒有操作用戶數據的權限。
MaxCompute產品面向的是企業級用戶,所以提供了豐富的項目空間內的用戶管理及授權功能,有興趣的同學可以參考MaxCompute用戶手冊中的相關章節。MaxCompute訪問控制粒度非常精細,比如你可以授權一個用戶只能讀某個table的部分columns,並且可以要求該用戶只能在某個時間範圍內、而且必須從指定的某些IP地址來進行訪問。換句話說,一個企業主可以做到只允許其員工在公司內、在正常上班時間才能訪問數據,下班回家就不允許訪問了。
3. 數據流控制
MaxCompute設計之初就是要滿足數據分享(或數據交換)的場景。所以,只要有授權,用戶就可以非常方便的進行跨項目空間的數據訪問。比如,在獲得相應的訪問權限之後,項目空間A中的作業可以直接處理項目空間B中的數據,而不必事先將數據從項目空間B中復制到項目空間A。
數據保護有兩層含義,一是防止未授權的數據訪問;二是防止獲得授權的用戶濫用數據。很多商用系統並不提供後一種數據安全保證。但在MaxCompute平臺上,用戶的這種擔憂比較明顯:用戶希望能確保對自己的數據擁有控制權,而一旦授權他人讀取,他人就可能會做復制數據,那麽就相當於失去了對數據的控制權。
MaxCompute通過支持數據流控制來防止跨項目空間的數據復制。如果你想確保項目空間中的所有數據都不允許流出去,那麽你可以打開項目空間的數據流控設置。你還可以設置項目空間的數據保護策略,以限制哪些數據可以流出到哪些項目空間。
4. 用戶作業的隔離運行
MaxCompute支持用戶提交各種類型的作業(如SQL/XLib/MR)。為了確保不同用戶作業在運行時互不幹擾,MaxCompute將用戶作業的Worker進程運行在飛天 Container沙箱中。如果用戶作業含有Java代碼(比如UDF),那麽飛天Container沙箱中的Worker進程啟動JVM時,還會設置嚴格的Java 沙箱策略以限制UDF的運行時權限。
5. 作業運行時使用最小權限
最小權限原則是系統安全和容錯設計的一個基本指導原則,即讓每個任務在運行時使用剛好滿足需要(不多也不少)的權限來執行。
MaxCompute的作業運行過程一般是這樣:用戶提交的SQL/XLib/MR作業會被調度到某一計算集群上運行,運行時每個作業一般對應一組並行跑的Worker進程,Worker進程一般會從數據集群上讀數據、處理完成後最終會將數據寫回到數據集群。舉個例子來理解MaxCompute是如何遵循最小權限原則的。我們假設用戶Alice被授權讀訪問一個項目空間下t1和t2兩個table數據,但她提交的某個SQL只需要讀t1的數據。在MaxCompute中,這個SQL對應的Worker進程在運行時就只能讀t1對應的底層數據文件,而不會有更多的數據訪問權限。
MaxCompute最小權限是依賴於底層的飛天分布式操作系統提供的Kerberos認證和Capability訪問控制來實現的。Kerberos認證用於解決飛天底層服務模塊之間的身份認證,Capability則用於解決底層服務模塊之間的訪問控制技術。這與上層MaxCompute所提供的認證和訪問控制是完全正交的安全機制,對MaxCompute用戶是完全透明的。
6. 數據訪問審計
MaxCompute還提供精準的、細粒度的數據訪問操作記錄,並會長期保存。MaxCompute平臺體系所依賴的功能服務模塊非常之多,我們可以把它稱之為底層服務棧。對於數據操作記錄來說,MaxCompute會收集服務棧上的所有操作記錄,從上層table/column級別的數據訪問日誌,一直到底層分布式文件系統上的數據操作日誌。最底層分布式文件系統上處理的每一次數據訪問請求,也都能追溯到是最上層的哪個項目空間中的哪個用戶的哪個作業發起的數據訪問。
有了服務棧上的各層操作審計之後,即使是內部攻擊者(工程師或滲透到內部系統中的黑客)想從內部(繞過MaxCompute服務)直接訪問底層分布式文件系統上的用戶數據的話,也一定是可以從操作日誌中被發現的。所以,通過數據訪問審計,用戶就可以準確的知道他在MaxCompute上的數據是否存在未授權的數據訪問。
7. 風險控制
除了不同層面的防禦機制之外,MaxCompute產品還會提供一套安全監控系統,用於監控用戶作業及用戶數據的安全活動,如AccessKey濫用,項目空間安全配置不當,用戶代碼運行時觸犯安全策略,以及用戶數據是否遭受異常訪問等。
安全攻擊防不勝防,所以MaxCompute會通過安全監控手段來及時發現問題,一旦發現安全問題則會啟動相應的處理流程,盡可能將用戶損失降到最低。
結語:雖然沒有絕對的安全,但安全性在MaxCompute產品設計和實現中享有最高優先級。MaxCompute團隊已經匯聚了多領域的安全專家,以保障用戶數據安全。同時,我們歡迎更多安全專家的加入,共同增強MaxCompute的數據安全。
原文鏈接
你的數據安全麽?Hadoop再曝安全漏洞| 黑客利用Hadoop Yarn資源管理系統未授權訪問漏洞