物联网安全发展
|
对于企业而言,这种需求通常采用存储区域网络(SAN)来满足,存储区域网络(SAN)通过高性能数据结构将服务器集群连接到一个或多个外部存储阵列,而存储阵列则提供了服务质量、复制和快照等功能。 最近,软件定义的存储解决方案已被推广为一种更具可扩展性和更经济高效的替代方案,它将存储添加到符合行业标准的服务器机箱中,并使用软件层(如VMware vSAN或Red Hat Gluster)从这些资源创建共享存储池。 但是,软件定义的存储有其自身的缺点,尤其是如果组织在与存储相同的服务器集群上运行应用程序(例如超融合基础设施),则会消耗宝贵的CPU周期。根据一些估计,这种负载最多可以占用CPU时间的25%。 Nebulon公司是一家提供存储区域网络(SAN)和软件定义存储替代方案的厂商,成立于2018年的Nebulon公司最近推出了一个称之为云定义存储平台,因为它利用云托管的控制平台来配置和管理存储硬件。该公司称,这使IT管理人员可以管理多个站点中的数千台服务器,同时降低成本和IT人员在运营上花费的时间。 该公司首席执行官Siamak Nazari认为,降低企业的存储成本和复杂性是Nebulon公司的目标之一,他与Nebulon公司的其他几位员工一样,曾是3PAR公司的高级管理人员,后来该存储公司被HPE公司收购。他讲述了自己曾经与一位首席信息官进行的对话。 这位首席信息官问道:“我们花费大量费用购买存储,并需要设置多个层次,但是我们购买的这些服务器中都有这样的插槽。为什么让我购买这些额外的存储设备?为什么不能直接使用服务器上已有的大量存储插槽呢?” 当然其答案是:使用服务器的内置存储通常需要额外的软件层。Nazari表示,这可能会以无法预料的方式与操作系统交互,并导致兼容性问题,甚至影响关键应用程序的性能。 他说:“这些人已经尝试过软件定义的存储或超融合,但由于软件定义存储附带的服务级别协议或工作负载限制,他们最终将采用外部存储阵列。” Nebulon公司的架构可以看作是传统存储区域网络(SAN)和软件定义存储的一种混合体,它们都借鉴了两者的某些方面。它使用每个服务器节点内的PCIe适配卡来控制存储驱动器,就像传统上安装RAID控制器一样,Nebulon公司将其称为服务处理单元(SPU)。每个SPU都运行数据服务,并且由于它直接控制存储驱动器,因此该公司将其比喻为在每台服务器内部都有一个小型化的存储阵列控制器。
如果只是这样,那么Nebulon公司提供的存储平台与外部存储阵列相比就没有什么优势。但是,其每个SPU适配器还具有自己的网络端口,这些端口通过网络结构将其链接到其他服务器节点中的其他SPU,以及用于管理网络的单独连接。一组SPU可以通过管理层连接到一个逻辑分组中,以形成一个共享存储池或数据域,Nebulon公司称之为nPod。SPU就是一个全长双宽度PCI-Express 3.0适配器,并基于运行在3GHz的八核Arm片上系统(SoC)以及专用于处理加密服务的加速器芯片。每个SPU卡都有两个用于数据结构的25Gb/s以太网端口,以与其他SPU链接;还有一个用于独立管理结构的1Gb/s端口,用于与Nebulon控制平台链接。Nebulon公司表示,该卡本身可作为系统的SAS主机总线适配器(HBA),从而避免了特殊驱动程序的需要。 Klein指出:“ ModSecurity(与CRS结合使用)确实是一个开源项目,但是就通用性而言,Mod Security具有多个缺点。” “它不能提供针对HTTP请求走私的全面保护,并且仅可用于Apache,IIS和nginx。”
为此,Klein发布了一个基于C++的库,通过严格遵守HTTP标头格式和请求行格式来确保所有传入的HTTP请求是完全合规且明确的。可以从GitHub访问它。 变体1:“标头SP / CR垃圾邮件:……” 变式2 –“等待” 变体3 – HTTP / 1.2绕过类似于mod_security的防御 变式4 –一个简单的解决方案 变式5 –“ CR标头” 例如,在处理包含两个Content-Length标头字段的HTTP请求时,发现Abyss接受第二个标头为有效,而Squid使用第一个Content-Length标头,从而导致两个服务器以不同的方式解释请求并实现请求走私。 在Abyss收到长度小于指定的Content-Length值的主体的HTTP请求的情况下,它将等待30秒以完成该请求,但不会忽略该请求的其余主体。 Klein发现,这也导致Squid与Abyss之间存在差异,后者会将HTTP请求的部分解释为第二个请求。 攻击的第三种形式使用HTTP / 1.2来规避OWASP ModSecurity中定义的WAF防御用于防止HTTP请求走私攻击的核心规则集(CRS)会生成触发该行为的恶意有效负载。 最后,克莱因(Klein)发现使用“ Content-Type:text / plain”标头字段足以绕过CRS中指定的级别检查,并产生HTTP请求走私漏洞。 有哪些可能的防御措施? 在将发现披露给Aprelium,Squid和OWASP CRS之后,问题已在Abyss X1 v2.14,Squid版本4.12和5.0.3和CRS v3.3.0中修复。
呼吁规范来自代理服务器的出站HTTP请求,Klein强调了对开源、应用要求硬核的Web应用程序防火墙解决方案的需求,该解决方案能够处理HTTP请求走私攻击。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
