扒一扒這兩天有關阿里雲經典網路安全性的爭論

這兩天阿里雲經典網路安全性的討論得到了IT圈廣泛關注，對此事還未或略有耳聞的吃瓜群眾，不妨隨扒爺一起全程圍觀一下吧。

阿里雲不同租戶不隔離？

2月24日，微博@一樂在微博中提到了阿里雲的安全隱患：

Cloudflare搞了個大事，這裡順便也提醒大家。千萬不要單獨評估一個安全漏洞的危害，只要它能幹不應該乾的事情，就要警惕。

我們前幾天也上了一課，一個比特幣挖礦程序利用Redis本地提權的漏洞，把我們一個小集群的緩存機器都搞掉了。

雖然漏洞剛出的時候，大家還都在說跟自己沒關係，我們的Redis都限制內網訪問，但是架不住安全組設置錯誤，這些機器暴露給了其他阿里雲用戶，也就是說主要某個阿里雲鄰居用戶被黑，他都可以通過掃描進入我們的系統。

問題發現的也很奇葩，這個病毒程序太霸道，它會直接把受影響的Redis許可權改掉，導致前端無法訪問，這觸發了我們的主從自動切換，然後被管理員發現了。他要是偷偷運行，估計還可以潛伏好久（我可不是給他出主意[二哈]）

大家要是感興趣，這裡有個人寫過一個類似遭遇

知名技術博主@左耳朵耗子在其微博下進行了簡單的回復，不曉引發了熱議。

直到2月26日，@左耳朵耗子 又針對這個話題發表文章《科普一下公有雲的網路》質疑阿里雲的安全策略。

文中稱，阿里雲的內網使用的是經典網路，在這種環境下，不同的租戶是可以互通的，這會帶來嚴重的安全隱患。

為了應對這一問題，阿里雲採用了安全組。安全組是AWS的Security Group概念，通過制定規則來達到類似防火牆的效果。但安全組存在諸多問題，這些問題讓設置變得異常困難和繁瑣：

1. 新主機加入或變更後需要頻繁更改設置（如IP地址）

2. 如果將安全組配置到網段上，則會涉及IP地址段的分配管理

3. 在公有雲上不可能分配專用IP

因此，左耳朵耗子提出，應該使用VPC進行管理。VPC是一種解決內網多租戶互相隔離的方案，全稱叫VirtualPrivate Cloud。

「一般來說，VPC是通過hack底層的虛擬化系統完成的，也就是說，在Hypervisor層虛擬交換機中實現了一個類似路由器的東西——通過一個用戶自定義的虛擬IP和實際IP的關係做packetforwarding或是overlay的機制等。Anyway，實現細節不重要。」

左耳朵耗子希望阿里雲能夠默認部署VPC：VPC這個事應該是默認為用戶開啟的，是在VPC上配置安全組，而不是提供VPC和安全組兩套可以相互獨立網路方案。

安全組究竟安不安全？

處於風暴中心的阿里雲自然不能置身事外，阿里雲官方發表了一篇有關「安全組功能」的技術博客，並援引2月20日發布的一篇文章，引眾多IT圈微博轉載。

2月27日，@左耳朵耗子發表文章《關於阿里雲經典網路的問題》表示收到了阿里雲官方的回復，點燃了新一波熱議。

作為曾在阿里巴巴任職的技術專家，左耳朵耗子稱，他2013年在阿里商家業務部做聚石塔期間發現阿里雲的內網多個租戶居然是通的。

最後的方案是給聚石塔的租戶設置安全組。由於設置的很死，但用戶又需要在自己的集群中相互通信，所以，當時的解決方案是，需要用戶申請，才開3000-3100的埠範圍。

註：當時的阿里雲是不讓用戶編輯安全組的，內網是全互通的。如果我沒有記錯，到了我快要離開阿里的時候（2015年）才讓用戶可以編輯安全組的。

也就是說，按左耳朵耗子的說法，在早期階段阿里雲的內網是存在一段時間能夠互通的。

另外，經典網路本身存在安全問題：

1）這種網路結構從設計上不可避免的把多個租戶放在同一個內網網段！所以，物理層面上來說就是通的！

2）動用安全組來隔離用戶是一種相當複雜的事，複雜的東西就容易出錯！因為，網路隔離的手段只有配置安全組。所謂安全組就是iptables的配置！

而且是在每台宿組機上配置，大家可以想一下，一台機器可以配置多少這樣的規則？這是有限制的！而且是在管理上的很複雜的，不但對用戶來說很複雜，我相信對阿里雲的開發和運維來說也非常複雜！

因此，即便使用了安全組，也無法避免地存在問題。

左耳朵耗子稱，使用nmap就能在內網掃到大量主機，可以 ping 通，可以telnet，甚至可以登錄，這為黑客留下非常方便的入口：

1） 我本來在公網上掃埠，我分不清哪些IP地址是伺服器的，現在好了，上阿里雲內網裡掃一下，100%都是伺服器，效率提高很多啊。

2）另外，經典網路的IP還都是連續的，這太TMD的爽了！

3）我再打個 route 命令看一下路由表，原來還有好多別的內網網段哦。

4）最爽的是，在內網發起攻擊，帶寬好快啊，而且可能還沒安全監控哦……

5）要是運氣好，說不定我還能搞定阿里雲的控制系統……

我是說，在座的各位……

昨日，前阿里雲高級安全專家、知名雲安全研究者 @安全_雲舒憤然表示——你們都錯了！《租戶隔離科普文，阿里雲經典網路問題續》：

先說結論：從2009年至今，阿里雲不同租戶一直默認是隔離的。

我的安全哲學是在安全這個專業領域用戶是sb（這裡的sb用戶也包括資深的開發人員在內，區別在於小白知道自己不懂，資深的開發人員則以為自己懂），安全得由我這種專業人士保護。

所以可以看見，我設置的策略是不人性化的，是死規矩是一刀切。在安全領域，用戶的資產也得由我說了算。

文中提及為了用戶的方便，原本相互隔離的租戶在2015年之後允許用戶設置允許一切IP訪問自己的安全組，現在的策略是合適的，但卻不能保證絕對的安全。這也就是為什麼有些網友覺得自己找到了漏洞所在。

接下來雲舒對耗子的第一篇文章表達了強烈的不滿，他認為耗子作為一個知名技術博主，說出

「anyway實現細節不重要」

而關於VPC，雲舒給出了自己的理解。

首先雲計算VM是講究漂移的，有因為故障發生的漂移，也有因為用戶主動發起的跨區域的漂移。漂移過程中要求保證業務盡量不中斷，則需要保證vm的ip地址、mac地址不變，這就意味著需要一個巨大的二層網路，甚至是跨區域的。而二層網路越大，交換設備的cam表壓力也越大，甚至爆掉，arp之類的廣播風暴也越嚴重，所以要把vm層面的一些東西對物理交換機屏蔽掉，分層處理。

其次，VPC給用戶一種很好的體驗，延續傳統網路時代自己組網自己規劃的那種感覺，當然也可以更靈活的設計自己想要的東西，甚至形成service chain。

隨後雲舒對於耗子的第二篇文章中的論點進行了「解答」和「挑戰」。

「當時有一個很大的安全問題是——阿里雲的內網多個租戶居然是通的。」

不知道耗子知道不知道，因為一些我不方便說的原因，聚石塔是由淘寶維護負責的電商雲，其實是屬於同一個租戶的！同一個租戶，當然是互通的啊。我不知道耗子是知道那個原因不說，因為知道我不可能說，還是真不知道——按說你當時也P9，應該知道吧。不說這個，但是至少，聚石塔所有的vm是屬於同一個租戶的，你也不知道么？那你負責聚石塔是怎麼負責的？也是「anyway，細節不重要」？

也許事情到這裡也差不多告一段落了，耗子昨日下午在微博也做出了言和——初衷也是好的，只是沒有深入研究，還不小心踢到了鋼板……

*本文作者：安全深扒，轉載請註明來自Freebuf.COM