云平台数据库安全之暴力破解

本文涉及的产品
云防火墙,500元 1000GB
简介:

各行业的企业、个人、开发者希望以低成本的方式实现IT运维外包,通过互联网云服务器实现快速数据分享,充分享受云计算带来的便利,这正是云的魅力所在。

对于快速增长的云应用,在享受随时、随地、随需的高效云服务的同时,企业和个人用户同样面临一个不容忽视的问题:企业重要数据和个人隐私数据保存在云平台的数据库中,如果这些数据资产丢失将会造成巨大损失。

一、云平台下暴力破解攻击现状

暴力破解攻击是云用户面临的最主要威胁之一,以某云平台防护的日常安全运营记录为例,每周黑客对云租户的暴力破解数量高达数亿次。下图是云租户遭到暴力破解攻击的趋势图:


▲2014年6-7月主机暴力破解趋势图

我们可以看出,从6月初到7月底,某云平台的租户被暴力破解攻击的数量平均每周在5亿次。在这5亿次攻击中,攻击目标分布如下(7.21-7.27数据):

二、数据库暴力破解攻击原因及途径分析

随着应用系统使用时间的增加,数据库里已经存储了大量的重要数据,以数据库为目标进行暴力破解的攻击占到了近40%。数据库的暴力破解是指黑客通过字典等方式对数据库的超管账号密码进行猜测的过程。管理员账号和密码是连接数据库的钥匙,一旦密码被成功“暴破”,数据库的安全也将不复存在。

数据库被暴力破解成功的主要原因是由于云租户尤其是很多企业用户,在雇佣软件厂商完成web应用开发后,没有专业技术了解数据库中有哪些运维时留下的账号,暴力破解尝试的不仅是管理员密码和运维账户,还有很多数据库自身存在的缺省账户,以Oracle为例,各版本缺省口令加在一起能达到700多个,这些账户都有可能成为被暴力破解的目标。

再有因为数据库中账户口令是加密存储,而且每个数据库的加密算法不同,如果不借助专业的工具如安华金和数据库漏扫,云租户自身也很难发现数据库中的弱口令,这就给防止数据库的暴力破解带来了难度。

从数据库被暴力破解的途径上分析,每个云服务器有内网和外网两个IP,一个云租户购买的多个云服务器之间可以模拟内网环境(如:vLan)互相访问,外网IP可以通过互联网进行访问。一般情况下,应用服务器通过访问内网IP连接数据库服务器,数据库维护是通过外网IP从互联网进行运维操作。自动化的暴力破解工具一个途径是直接扫描到外网IP地址,发现某个缺省端口在提供数据库服务,之后通过对账户口令进行猜测。另外一个途径就是先攻击应用服务器,之后以应用为跳板扫描数据库账户口令。云平台内网环境下,云租户之间的网络访问也有可能发生口令猜测,但是相信云平台自身的安管平台和网络域安全划分机制已经堵住这个非法访问途径。

三、数据库防止被暴力破解的防御手段

云租户想防止数据库的被暴力破解,安华金和数据库安全专家有三个建议:一是增加数据库账户的密码强度,二是修改数据库的登录失败处理方式,三是使用数据库防火墙实现数据库的主动防御。

当然,某些类型数据库的缺省账户也是需要进行锁定或增加账户的密码强度。

如下表所示密码位数与自动化工具暴力破解时间关系:

对于数据库的口令暴力破解问题,安华金和的数据库漏扫可以帮助云租户找到弱口令和缺省账户口令,建议口令修改为8位以上,如果核心数据库建议口令修改为10位以上,最好是带大小写字母、数字和特殊字符。安华金和的数据库漏扫还可以发现数据库的登录失败处理安全设置,如最大登陆错误次数和登陆失败后的锁定时间,按修复建议进行人工加固。

通过互联网IP和被攻陷的应用服务器IP采用自动化暴力破解工具去猜测数据库账户,即使是猜测不成功,这种非法的登录尝试也会消耗数据库资源,严重的时候可能导致数据库宕机。因此,安华金和数据库安全专家建议在数据库之前采用数据库防火墙进行主动防御。可以通过数据库防火墙实现的安全防护手段有:只允许合法运维和应用IP地址才能访问数据库,其他的IP地址对数据库访问一律禁用;使用数据库防火墙的串联代理方式,隐藏原有数据库的IP地址和端口号,使暴力破解工具无法知道真实数据库的位置;通过数据库防火墙自动化的阻断。


本文作者:佚名

来源:51CTO

相关文章
|
22天前
|
SQL 关系型数据库 数据库连接
"Nacos 2.1.0版本数据库配置写入难题破解攻略:一步步教你排查连接、权限和配置问题,重启服务轻松解决!"
【10月更文挑战第23天】在使用Nacos 2.1.0版本时,可能会遇到无法将配置信息写入数据库的问题。本文将引导你逐步解决这一问题,包括检查数据库连接、用户权限、Nacos配置文件,并提供示例代码和详细步骤。通过这些方法,你可以有效解决配置写入失败的问题。
47 0
|
6月前
|
关系型数据库 MySQL 应用服务中间件
tomcat 搭建博客 及破解数据库密码
tomcat 搭建博客 及破解数据库密码
|
3月前
|
SQL 安全 关系型数据库
【惊天秘密】破解数据库管理难题!——Yearning开源审计平台:你的数据库安全守护神,一键审计,轻松应对挑战!
【8月更文挑战第21天】Yearning是一款基于Python的开源数据库审计平台,简化数据库管理和审计流程,支持MySQL、PostgreSQL等。核心功能包括SQL审计、执行、回滚及备份,提升数据库管理效率。安装简便,支持通过pip安装并快速启动服务。Yearning提供智能SQL审查,确保安全性与合规性,同时还具备友好的用户界面及API客户端支持,适用于多种数据库操作场景。
125 0
|
SQL 存储 安全
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(1)
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(1)
325 0
|
SQL 机器学习/深度学习 存储
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(2)
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(2)
158 0
|
SQL 安全 Java
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(3)
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(3)
157 0
|
存储 缓存 Java
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(4)
《CDP企业数据云平台从入门到实践》——CDP之操作型数据库(4)
176 0
|
运维 数据库
《买单侠数据库架构之路--基于云平台的数据库运维》电子版地址
买单侠数据库架构之路--基于云平台的数据库运维
75 0
《买单侠数据库架构之路--基于云平台的数据库运维》电子版地址
|
Oracle 关系型数据库 MySQL
破解MariaDB数据库的管理员登录密码
破解MariaDB数据库的管理员登录密码
破解MariaDB数据库的管理员登录密码
|
Oracle 关系型数据库 MySQL
破解Mysql数据库的管理员密码(不时之需)
破解Mysql数据库的管理员密码(不时之需)
破解Mysql数据库的管理员密码(不时之需)