每个人都在谈论最近的OpenSSL安全漏洞问题,我们就这个事件阐述一下我们是如何应付该事件的。

该安全漏洞刚报道出来的时候,我们采取了处理类似于其它安全威胁一样的处理方法,评估了客户影响和风险。在本案例中,我们有大概105台服务器受到影响,大多数是Centos6.5以及一些Ubuntu服务器。这些服务器中,仅有10台是面向网络的,所以风险最高。

我们给所有客户,包括未受影响的客户都发出了通知,并且对于防范较差的服务器,我们也给出了特定的处理计划。幸运的是,很容易就能够处理该威胁,在大多数案例中,就是对Apache、Nginx以及 HAProxy进行包更新以及服务重启。

在这个关键问题上,我们花大部分时间处理有问题的服务器并同我们的所有客户保持沟通联系。幸运的是,许多客户并没有受到影响,因为他们还没有迁徙到Centos6.5(许多客户仍旧使用的是6.3或者6.4).

最大的问题是如何处理关键数据损坏所带来的风险,如用户密码,或者甚至是SSL认证私有密钥。实际上,安全性要求很高的站点应当更换SSL证书,以确保黑客无法获得私钥截取所有未来的数据流。

总的来说,云络科技对客户系统和数据安全负责,尤其是对于类似于本案例的易受攻击的基础设施或服务器相关的易受攻击的对象我们更有义务确保其安全。对于这些安全威胁,我们订购了所有重要的安全通知服务。我们很快会引进新的月度服务,会列出所有客户系统安全威胁问题。