「每日安全資訊」DNS故障導致微軟Azure雲服務的資料庫被刪除

微軟 Azure 雲的用戶發現在周二的大規模故障中丟失了資料庫記錄。報告稱，DNS故障和自動腳本兩者正是事故的罪魁禍首。微軟在 Azure 中刪除了幾個透明數據加密(TDE, Transparent Data Encryption)的 Azure SQL 資料庫，其中包含客戶的實時信息。TDE 資料庫會動態加密它們存儲的信息，並在客戶訪問時對其進行解密。

雖然加密這些表有不同的方法，但許多 Azure 用戶將自己的加密密鑰存儲在微軟的 Key Vault 加密密鑰管理系統中，這個過程稱為自帶密鑰(BYOK, Bring Your Own Key)。

據微軟在一封發給客戶的信函中解釋說，這些刪除操作是自動執行的，由一個腳本觸發，原因在於該腳本在密鑰保險庫中無法再訪問相應的密鑰時會刪除TDE 資料庫表。

意外刪庫後，微軟不得不利用5分鐘前的快照備份恢復了客戶數據，但這意味著5分鐘內客戶的交易事務、產品訂單以及對數據存儲系統的其他更新統統丟失，需要手動進行處理。在這種情況下，客戶提出必須要微軟提供支持的工單，並要求將資料庫副本重命名為原始資料庫。

微軟則一直在竭力解釋：「如果 TDE 加密的 SQL資料庫因無法繞過防火牆而訪問不了密鑰保險柜，資料庫將在24小時內被刪除。」

作為補償，微軟表示會免費提供數月的資料庫服務：

我們對於給您服務帶來的影響深表歉意。所有恢復的資料庫將免除2個月的 Azure 使用費，所有原始資料庫將免除3個月的使用費。我們不斷採取措施以改進微軟 Azure 平台和我們的流程，幫助確保將來不會發生此類事件。

那為什麼會出現「刪庫」事故呢？答案源於本周微軟及其 Azure 客戶面臨的更大問題。周二，全球的雲服務遭到破壞，引發了一系列問題。其中包括間歇性訪問 Office 365 失敗，Azure 雲資源的調度使用也下降了。

根據微軟當時的 Azure 狀態頁面，這個問題反過來又歸結為 DNS 中斷故障：

初步根本原因：工程師發現了與外部 DNS 供應商的 DNS 故障。

緩解方案：DNS 服務被轉移到另一個 DNS 提供商，暫時緩解了這個問題。

報告顯示，此次 DNS 故障來自 CenturyLink，後者為微軟提供 DNS 服務。該公司在一份聲明中說，當天遭遇了軟體缺陷。這表明當基於雲的系統互連並且足夠自動化以允許級聯故障時可能會出現問題。由於缺乏人工干預，DNS 供應商的軟體缺陷間接導致了客戶實時信息的刪除。

CenturyLink 最近似乎遇到了串列 DNS 問題。該公司在2017年底完成了以 340 億美元收購大型網路運營商 Level 3的 計劃，該公司還在12月遭遇了 DNS 中斷事故，據報道，該中斷影響了緊急服務，引發了聯邦通信委員會的調查。

* 來源：開源中國

更多資訊

? 谷歌封殺多款誘導下載或「釣魚」等惡意行為的應用

http://t.cn/EtFeuO9

? 上海網信辦:將加強對App違法違規申請許可權等行為監管

http://t.cn/EtFeBs6

? IPv6 在中國

http://t.cn/EtFeDWj

? 中國人保健康湖南違法遭罰 客戶身份識別現漏洞

http://t.cn/EtFDvt4

（信息來源於網路，安華金和搜集整理）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！