Linode云安全响应获表扬引担忧

日期: 2016-02-15 作者:Trevor Jones翻译:boxi 来源:TechTarget中国 英文

Linode对一系列针对其托管服务的云安全威胁的响应说明了提供水平适度的信息给用户来缓和其担忧的平衡做法。

云托管提供商Lindode正因为处理最近一系列的安全攻击的做法而受到称赞,但一些客户的担心足以让他们考虑其他选择。

上周Linode管理器的密码过期了,在一项调查发现非授权登录到了三个账号之后,用户收到要设置新密码的提示。重置是在该云提供商的数据中心面临着持续的分布式拒绝服务(DDoS)攻击的背景下提出来的。2015年Linode还面临着停机时间更早的问题,因为需要重启来处理Xen有关的安全问题。

据该公司说,绝大部分Linode客户均已获得支持,但有两位用户说一系列的攻击让他们不得不考虑第二家服务商。

这一系列攻击对于Liode云提供商的客户、总部位于达拉斯的咨询公司etc.io来说是“相当大的一件事,”其首席律师E.T. Cook说,该公司因为攻击遭遇了几次业务中断。Etc.io使用了不同的云提供商,但Linode曾是它的首选平台。

“我们一直很坦率,尽管我们同情Linode遇到了DDoS攻击,也不会放弃他们,但我们正在寻找多样性,在Linode以外给我们所有的主要资产找备份,”Cook说。

采取这一行动会制造许多挑战,尤其是围绕着数据库复制方面,但他已经被说服自己公司需要做这个。

总部位于德克萨斯州McKinney 的寻宝游戏公司Munzee也有工作负载托管在Linode位于亚特兰大的设施里面,该公司在一份博客中说此次攻击持续了10天时间,到1月3号才停止下来。最糟糕的一次发生在此前的一个周末,正常运行时间都是断断续续的,导致它的app、网站以及商店在那段时间大部分都是宕机状态。

这篇博客还收Munzee正在采取措施防止将来再度出现类似的故障停机,其中包括托管服务器到多个数据中心,或者托管到多家公司,可能还会更换提供商。在至SearchCloudComputing的一封电子邮件中,Munzee 负责技术的副总裁Scott Foster说该公司正在从Linode迁移到AWS。

一项调查发现,Linode云有3个账号的登录未被授权。两家Linode.com的用户证书被用到了一台外部机器上—意味着它们有可能是从Linode数据库读取的,可能是通过在线方式,也可能是离线方式,Linode说。

商务迹象表明有任何客户的信息被访问到,但有可能用户名、但电子邮件地址、经过哈希加密的密码以及加密的双因子种子可能已经从数据库的用户表中被读取出来,据Linode说。

三个有可能受影响的客户马上就通知了,尚未发现访问供应商基础设施的额外迹象。一位不具名的第三方安全机构已经受邀辅助进行调查。

451 Research 的资深安全分析师Adrian Sanabria 说,基于该公司提供的信息,以及对所发生事情和采取步骤表现出的适当程度透明度,可以看出Linode已经很好地处理了这种情况。Linode还比较明智,没有披露客户不需要知道的信息,比如协助调查的机构名字,他补充道。

“很高兴看到他们没有让所有的社交媒体都挥舞着Mandiant公司旗帜,或者因为攻击者‘特别先进’或‘娴熟’就拒绝承担责任,”Sanabria说。

这次DDoS攻击是从12月25日开始的,接下来的一周Linode可能遭遇了超过30次攻击,该公司称其“持续时间和产生的影响都是显著的。”

Linode声称对背后是谁发动了这场攻击并不清楚,也不知道这些攻击是否存在关联。该公司正在配合执法机构,一旦攻击亭子,计划对这些事件做出完整的技术解释。

DDoS攻击的过去例子一般都伴随着欺诈。调查者会探查任何可能的关联,但证实很困难,IDC研究经历Robert Westervelt说。

“识别威胁行动者非常困难,而把他们与多个事件关联起来进一步把这些问题复杂化,”Westervelt说。

尽管Westervelt承认对3个账号的未获授权登录很麻烦,但他同意Linode似乎表现出了响应得当。众所周知,用户密码设置一般都比较糟糕,但该公司采用了得到接受的安全方面最佳实践,对密码进行了哈希处理,对双因子种子也进行了加密。

密码被盗是云服务提供商面临的最高风险之一,据Westervelt说。应对这个风险的一个好办法是增加多因子验证,他说:“大多数提供商都把它作为选项能力,如果客户渴望这种水平的保护的话。”

攻击者获得访问的另一个常见办法是通过寻找基于Web的管理系统软件漏洞,这些软件可能会有存在漏洞的组件,Westervelt说。

“至于Linode,对包含的威胁和它采取的任何补救措施提供透明度很重要,这样才能获得客户群的信任,”Westervelt说。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Trevor Jones
Trevor Jones

SearchCloudComputing.com的新闻作者,2014年加入TechTarget。

翻译

boxi
boxi

相关推荐

  • 新的云安全工作需要新老技能并进

    随着黑客威胁上升,CISO的职位变得热门。现在,云供应商正在寻找技能更全面的IT人才。

  • 2015年:中小企业灾备即服务市场发展迅速

    2015年的灾备即服务(DRaaS)领域,厂商数量增多,而产品质量也有显著提升。但是,对大型企业而言,这种基于云的灾备服务仍有待观望。

  • 争议声中 云存储一力前行

    云模式对我们极有意义,对于传统方案,我们要在软硬件和电费上投入大量资金。而云方案,是服务提供商已经建设好了这些基础设施,然后与用户共享系统并分担费用。

  • 云计算安全之谜

    本文通过两位安全专家的讨论分析了当前的云计算安全之谜,文中结论认为来自各个厂商的宣传使得很多人搞不清于云计算的类型划分,连IT专家也不能例外……