运营商Elasticsearch数据库被脱机

1. 泄露的数据有何影响?

据了解，在整个数据库暴露期间，NetFlow数据一直在被捕获，泄露的数据中有50亿行数据是NetFlow数据，以每秒3200个事件的速率被记录。

注：NetFlow是思科公司开发的一种网络协议，用于收集IP流量信息和监控网络流量。通过对流量数据的分析，可以建立网络流量和流量的图像。

NetFlow数据泄露有何影响呢?NetFlow信息记录了哪个源IP将不同类型的流量发送到一个特定的目标IP，以及传输了多少数据。以下图为例，这是对目标IP地址的HTTPS(TCP端口443)请求，我们对目标IP进行反向DNS查找，就可以快速识别此人将使用HTTPS的网站。

 

. 如何避免这种情况呢?

相信很多人也发现了，这次发生泄露的数据库又是Elasticsearch。由于不少开发人员及其团队在认知上更多地把Elasticsearch看成是与MySQL同等的存储系统，所以在部署以后并没有太多地关心其访问控制策略和数据安全，而且Elastisearch开箱即用的特点也让开发和运维人员放松了对安全的重视，所以Elasticsearch数据泄露的比例很高。

如何避免呢?其实这也是个老生常谈的问题了，我们曾多次建议大家采取以下措施：

• 服务器必须要有防火墙，不能随意对外开放端口;
• Elasticsearch集群的端口包括TCP和HTTP，都不能暴露在公网;
• Elasticsearch集群禁用批量删除索引功能;
• Elasticsearch中保存的数据要做基本的脱敏处理;
• 加强监控和告警，能够在安全事件发生的第一时间感知并启动紧急预案，将损失降到最低。

另外，由于这次泄露的数据主要是NetFlow数据，所以也需要针对此做出措施。ISP收集NetFlow数据是无法避免的，它们会跟踪连接的来源和流量的目的地，但是DNS查询日志问题是可以解决的，建议使用DoH和DoT来保护DNS通信。据了解，目前Mozilla Firefox、谷歌Chrome、Internet Explorer Edge、Android都支持DoH和DoT，微软的Windows 10也将很快支持。

（编辑：平顶山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!