許多安全研究人員一致認為，跨租戶漏洞是一種客戶需要注意的新型風險，這種風險不應該發生在云中。

在過去的一年里，Azure發現了最多的安全漏洞，也是最嚴重的漏洞。有史以來最大的黑客攻擊事件之一發生在去年夏天，幾乎沒有人注意到。

2021年8月，黑客侵入了微軟Azure公有云平臺上廣泛使用的數據庫服務。他們聲稱可以訪問數千個客戶環境或租戶中的數據庫，其中包括一些財富500強公司的數據庫。這是可能的，因為云計算服務在共享基礎設施上運行——事實證明，這可以發現一些云計算提供商認為已經解決的共享風險。

如果人們沒有聽說去年夏天的這起事件，那可能是因為入侵微軟Cosmos DB服務的黑客并不是網絡罪犯。他們是云安全初創廠商Wiz公司的研究人員。研究人員給該漏洞起了一個令人難忘的名字“ChaosDB”，并將其報告給了微軟。“跨租戶”問題在任何實際攻擊者攻擊之前就已修復，其危機得以化解。

但這一驚人的發現讓Wiz公司和其他幾家供應商的研究人員很想知道這種新型跨租戶漏洞到底有多普遍。這導致一個月后在Azure服務中發現了另一個可怕的漏洞，然后又出現第三個漏洞。然后又發現另外三個漏洞——而在幾個月內在Azure發現六個關鍵漏洞。

包括ChaosDB漏洞在內，其中五個關鍵漏洞表明有可能破壞大量不同的云計算環境或租戶。Wiz公司研究主管Shir Tamari表示，像ChaosDB這樣的跨租戶漏洞是“在云服務提供商中可能發現的最嚴重的漏洞。”

Tamari指出，Wiz公司的研究團隊并沒有尋找這種類型的漏洞，只是偶然發現了ChaosDB。他說，這一發現向研究人員揭示了這種問題甚至在公有云中也有可能發生。

安全研究人員還將繼續發現AWS中的兩個關鍵漏洞。但研究人員表示，在過去一年中，大部分最嚴重的漏洞都是在Azure中發現的。對于一些安全研究人員和行業分析師來說，這一系列問題引發了對微軟公司保護其Azure服務的方法的質疑。

獨立安全研究機構Securosis公司首席執行官兼長期安全行業分析師Rich Mogull說，“這很令人擔憂。這是一種模式。所以問題是：我們是否相信這是因為他們受到了更嚴格的審查?還是他們有更多的問題?可能兩者兼而有之。”

Orca公司首席技術官Yoav Alon表示，云安全服務商Orca Security公司的研究人員在Azure服務中發現了兩個跨租戶漏洞，這些問題強烈表明Azure公司無法承受研究人員施加的與AWS和GoogleCloud相同程度的壓力。

Alon說，“我認為目前在云計算領域與其他供應商相比，他們可能在安全性方面有些落后。”

微軟公司并沒有對行業媒體的報道發表評論。

該公司在一份聲明中表示，“安全性是Azure的基礎。客戶信任微軟公司跨物理數據中心、基礎設施和運營提供的多層安全性，網絡安全專家積極監控以保護企業的數據。我們通過與研究人員的漏洞賞金不斷地在內部和外部參與發現并修復安全問題，我們積極分享更新和指導。”

其他研究人員和分析師表示，他們不認為這些發現表明微軟公司在保護其Azure服務的方法上與AWS或谷歌云相比存在任何弱點。

獨立信息安全顧問Kevin Beaver表示，事實上，云計算基礎設施非常復雜，這樣的安全問題是不可避免的。Beaver 說，“我不認為這有什么可怕的。”

一種新的漏洞

然而，許多安全專家都認為，這些問題指向一種新型漏洞，客戶在很大程度上沒有考慮到他們對云計算風險的理解。畢竟，在發現這些風險之前，即使是安全研究人員也不認為云平臺中的租戶隔離存在問題。

漏洞賞金平臺Bugcrowd 公司創始人兼首席技術官Casey Ellis說，“我認為可以肯定的是，當他們使用云計算提供商的云計算服務時，很多人會認為這一切都已經解決，如果發現不是，可能會有點驚訝。它確實違反了人們對云安全的基本假設。如果這個假設在起作用，那么可能需要重新解決這個假設。”

IDC公司安全與信任項目副總裁Frank Dickson表示，他認為公有云提供商根本上來說非常安全，遠比內部部署數據中心環境更安全。

Dickson說，“這是否說明了一類新的漏洞?確實如此。”

與一兩年前相比，新冠疫情使企業加速向云計算的遷移，也使得更多的客戶現在嚴重依賴AWS、Azure和谷歌云。安全專家指出，這放大了被利用的跨租戶漏洞的潛在影響。

美國情報機構前滲透測試人員、現為網絡安全服務商Deepwatch公司創始人兼副總裁Patrick Orzechowski說，“很多人對AWS、微軟或谷歌十分信任，并認為他們可以確保基礎設施中沒有重大漏洞。”

根據研究機構Synergy Research集團發布的調查報告，今年第一季度，全球云計算基礎設施服務支出飆升至近530億美元，同比增長34%。Azure云平臺在本季度占據了22%的市場份額，落后于亞馬遜33%的市場份額，但仍遠遠領先于谷歌云10%的市場份額。

攻擊云平臺

2019年年中，針對CapitalOne公司的AWS云環境的網絡攻擊泄露了1.06億客戶的數據。這家美國最大的銀行之一的違規事件為云安全領域敲響了警鐘，顯示了當網絡攻擊者以公有云為目標時可能發生的情況。

但盡管情況很糟糕，這次違規只影響了一家公司。由于云計算的架構，每家企業的數據都與其他公司保持隔離和不可見。破壞某個客戶環境的網絡攻擊者無法訪問其余客戶的環境。

客戶通常很信任AWS、微軟或谷歌這些云計算供應商。

或者至少認為他們不應該這樣做。自從去年8月以來發現的一系列公有云漏洞表明，可能會發生前所未有的大規模攻擊：研究人員表示，如果此類攻擊獲得成功，其帶來的嚴重程度可能是CapitalOne公司泄漏事件的100或1000倍。

一些網絡安全專家表示，值得慶幸的是，到目前為止還沒有看到這種情況發生。但這也意味著這個問題也沒有得到足夠的關注，即使是在安全社區。

Alon說，“如果發生災難性的事情，它將得到更多的關注，我們正在努力防止這種災難性的情況發生。”

可以對軟件供應鏈攻擊進行類比，這些攻擊基于類似的理由令人恐懼：破壞單個應用程序可能會導致許多最終客戶遭受損失或影響，例如2020年的SolarWinds網絡攻擊。公有云尚未出現SolarWinds這樣的攻擊，但研究人員的表示，如果網絡攻擊者首先發現了其中一個最近的漏洞，那么情況可能會有所不同。

令人關注的“關鍵”問題

云安全專家Scott Piper表示，在2021年8月至2022年1月期間，安全研究人員在主要云服務平臺上共發現了8個 “嚴重”的漏洞，他在GitHub上編制了一份冗長的問題清單。Piper的統計表明，自從去年夏天以來，Azure云平臺已經發現了六個關鍵漏洞，相比之下，亞馬遜的云平臺上有兩個關鍵漏洞，谷歌云平臺上沒有關鍵漏洞。

由于公有云漏洞通常被排除在常見漏洞和暴露系統之外，因此這些問題中的大多數都沒有被官方授予嚴重性評級。Piper根據自己的評估，將嚴重性評級歸因于迄今為止已披露的53個公有云問題，從“低”到“嚴重”不等。Wiz公司指出Piper的工作是這些公有云問題的權威文檔。

除了研究人員和供應商本身之外，Piper可能和任何人一樣熟悉最近一連串的公有云漏洞。對他來說，最引人注目的是研究人員已經反復證明了在Azure服務上實現跨租戶訪問的能力。

相比之下，由于這兩個最近發現的影響AWS的嚴重漏洞。Piper說，“如果他們深入挖掘，似乎能夠獲得跨租戶訪問，但通過Azure，他們實際上證明了這一點。”

在ChaosDB之后，下一個要發現的嚴重Azure漏洞是Azure容器即服務平臺上的跨賬戶接管漏洞。它是由Palo Alto Networks公司的Unit42小組的研究人員發現的，并被稱為“Azurescape”。

Palo Alto Networks公司首席安全研究員Yuval Avrahami在去年9月發表的一篇博客文章中寫道：“跨賬戶漏洞通常被描述為公有云的‘噩夢’場景。Azurescape證明它們比我們想象的更真實。”

從那以后，這方面的證據不斷積累。在接下來的幾個月中，在Azurescape錯誤出現之后，又出現了Azure服務中的三個額外的跨租戶漏洞。Orca Security公司研究人員發現了影響Azure自動化服務的“AutoWarp”和影響AzureSynapse分析服務的“SynLapse”。Wiz公司研究人員表示，它影響了PostgreSQL Flexible Server的Azure數據庫。

由Wiz公司發現的另一個被稱為“OMIGOD”的嚴重Azure漏洞沒有啟用跨租戶訪問。但與其他漏洞相比，它對客戶來說是更直接的問題：該漏洞影響了客戶的一系列Azure服務，并在去年秋天被網絡攻擊者廣泛利用。相比之下，目前還不知道其他Azure最近的漏洞是否被利用。

你只有一份工作

在防止云中的跨租戶漏洞方面，云客戶的安全團隊無能為力。Forrester公司首席分析師Lee Sustar表示，這些問題顯然超出了任何客戶的能力范圍，他們只能依賴于他們的云計算提供商。

所有主要的公有云平臺都使用某種形式的“責任共擔”模型，在供應商和客戶之間劃分安全職責。根據該計劃，供應商承諾保護底層基礎設施。客戶負責保護自己的數據和應用程序。

Sustar指出，跨租戶漏洞無疑屬于責任共擔模型的供應商一方。相比之下，對于過去的云計算違規事件，例如CapitalOne數據泄露事件，責任主要在客戶方面。

網絡安全服務商FireMon公司的云安全高級副總裁Mogull表示，確保租戶隔離在云計算服務提供商的安全責任中名列前茅。他說，“就像‘你只有一份工作’一樣，對于任何云計算提供商來說，沒有更大的風險或擔憂。”

盡管如此，盡管云平臺在安全性方面并不完美，但在許多情況下，它們仍將比使用數據中心更安全。Mogull說，“我是云計算的堅定支持者，我認為每個人都應該把他們能做的一切都遷移到云平臺上。”

Luttwak表示，對于Wiz公司來說，漏洞研究的目標只是幫助客戶了解公有云中確實存在隔離問題。Luttwak公司曾是微軟公司以色列分公司研發部門的首席技術官，后來于2020年共同創立了這家云安全初創公司。

他說：“這是我們過去認為不夠的。作為云計算提供商的用戶，我們確實需要問他們這樣的問題，‘什么是隔離模型?如何確保隔離?’”

網絡安全服務商JupiterOne公司的現場安全總監Jasmine Henry表示，鑒于客戶數據隔離是安全云計算的“絕對核心原則”，業界現在才發現需要有關云計算提供商使用的隔離架構的文檔。Henry表示說，云計算提供商必須找到一種方法來證明其隔離性，而不必付出太多代價，也不會造成進一步的安全風險。

她說。“作為一個行業，我認為這些都是我們正在學習的東西。”

觀點問題

Luttwak表示，在Azure中發現的一系列跨租戶漏洞甚至可以被視為一件好事。他說，微軟公司鼓勵此類研究，并為發現Azure漏洞提供高達6萬美元的獎金。

Luttwak說，“存在漏洞的事實并不意味著整個平臺不安全。我不認為可以聲稱Azure比其他產品更安全。這是一個很好的問題，但我認為沒有人有數據可以這么說。”

2001年創立了咨詢公司Principle Logic公司的Beaver說，Azure中出現的漏洞似乎更像是微軟公司運氣不佳并成為安全研究的目標的問題。

他說，“這些事情隨時可能發生在任何企業身上。”

微軟公司的聲明中表示，其安全團隊全天候工作，以識別和緩解潛在的安全問題。還通過協調漏洞披露與安全研究界合作，確保在公開披露潛在安全問題之前發現并緩解這些問題。

盡管如此，Wiz公司的研究團隊和Orca Security公司的公有云漏洞研究團隊都表示，他們已經投入了類似的時間來尋找AWS、Azure和Google云中的問題，Azure中主要存在嚴重的跨租戶漏洞。

當然，沒有人會認為安全性被排除在Microsoft Azure服務的設計考慮之外。但多位云計算安全專家表示，根據目前的漏洞研究，似乎遺漏了某些允許用戶繞過租戶隔離的使用場景。

身份驗證和授權問題是許多關鍵Azure漏洞的主題。威脅研究服務商Invisible Threat公司的所有者兼首席研究員Scott Walsh說：“這個系統承載了太多的信任。”

Walsh說，對于ChaosDB關鍵漏洞，微軟公司似乎在檢查授權的第一步，但隨后假設信任，這使得網絡攻擊者能夠在授權的初始階段之后獲得對其他租戶的訪問權限。

他說：“基本上看起來，如果有足夠的信任進入這個云實例，那么你在這個實例中的每件事都有足夠的信任。在多租戶共享環境中，這還不夠好。”

Wiz研究人員報告說，通過利用CosmosDB服務中的一系列錯誤配置，他們能夠不受限制地訪問網絡并獲得許多“秘密”(私鑰和證書)可用于管理數據庫服務。

Orca Security公司表示，SynLapse并非如此。該公司聯合創始人兼首席執行官Avi Shua在5月9日的一篇博客文章中寫道，Orca Security公司的研究人員于1月首次發現Azure Synapse服務中的漏洞，但在微軟公司在今年3月部署補丁之后，研究人員在4月仍然能夠繞過租戶分離的問題。

Shua在帖子中說，“我們認為該架構包含潛在的弱點，應該通過更強大的租戶分離機制來解決這些問題。”

未受影響的客戶

Navisite公司首席執行官Mark Clayman表示，到目前為止，跨租戶Azure漏洞的發現并未引起客戶的重大擔憂，Navisite公司提供云戰略和遷移服務，并持有頂級Azure Expert MSP認證。Clayman表示，在采用Azure方面，客戶并沒有暫停，至少部分原因是這些發現是相對較新的，到目前為止還沒有發生跨租戶違規行為。

他說，另一個因素可能是“更精通技術”的客戶更有可能專注于AWS或谷歌云。Clayman說，“我只是發現更傳統、更保守的公司更傾向于Azure。”

IDC公司的Dickson表示，他最近與之交談的客戶也沒有對Azure的關鍵漏洞表示任何擔憂。因此，客戶在這個問題上對微軟公司的壓力似乎很小。

盡管如此，Forrester公司的Sustar表示，盡管客戶過去可能認為跨租戶問題是“低級風險”，但在他們可能會在了解最近的調查結果時重新評估這一點。

OrcaSecurity公司的Alon說，如今的微軟公司產生的資金數量和它做出的安全承諾類型之間似乎存在差異。

他說，“如果有一個平臺可以產生數十億美元的收入，并承諾安全，但交付不足，那么可以將其中的一些資金用于提高安全性。而微軟是世界上規模最大的公司之一。如果選擇這樣做，并且將其作為最高優先級，他們就可以做出令人驚奇的事情。”

Walsh表示，解決潛在問題可能首先需要更好地處理這些Azure服務中的邊界。然后，微軟公司可能希望隨著時間的推移緩慢地、迭代地改變服務架構，以帶來更加云原生的身份和訪問管理風格。

他說，“這可能還會有一段時間會面臨困難。”

可信計算2.0?

Alon表示，相信微軟公司將能夠改善圍繞Azure服務漏洞的情況。他指出，微軟公司在扭轉安全方面有著良好的記錄，這可以追溯到2002年著名的“可信賴計算”備忘錄。在給微軟員工的內部備忘錄中，比爾·蓋茨承諾將微軟產品的安全放在更高的優先級，導致多年來在提高安全性方面取得了很大進步。

Alon表示，微軟公司現在可能正在接近與云安全類似的時刻。他補充說，懷疑該公司已經在內部進行了更改以阻止未來的Azure安全問題。

Alon說，“但改變需要時間。我們將在接下來的幾個月和幾年內看到更多的改變。”

Mogull表示，近年來，微軟公司通過一系列非常積極的舉措證明了其對網絡安全的承諾，這也令人鼓舞。

例如，微軟公司近年來在打擊“全球民族國家級僵尸網絡”方面值得稱贊。在今年4月，微軟公司披露了其在摧毀ZLoader僵尸網絡中的作用，這是一個由網絡犯罪分子用來執行包括勒索軟件在內的攻擊的受感染計算機網絡。

Mogull表示，總體而言，它們具有出色的安全性。但談到Azure的安全性，他說，“我只是希望它變得更好。而且我認為微軟公司可以做到。”