عندما تسمع "الإعدادات الافتراضية" في سياق السحابة ، يمكن أن تتبادر إلى الذهن بعض الأشياء: كلمات مرور المسؤول الافتراضية عند إعداد تطبيق جديد ، أو حاوية AWS S3 عامة ، أو وصول المستخدم الافتراضي. في كثير من الأحيان ، يعتبر البائعون والمزودون سهولة استخدام العملاء أكثر أهمية من الأمان ، مما يؤدي إلى الإعدادات الافتراضية. هناك شيء واحد يجب أن يكون واضحًا: فقط لأن الإعداد أو عنصر التحكم افتراضي لا يعني أنه موصى به أو آمن.
أدناه ، سنراجع بعض الأمثلة على الافتراضات التي يمكن أن تترك مؤسستك في خطر.
Azure
تحتوي قواعد بيانات Azure SQL ، بخلاف مثيلات Azure SQL المُدارة ، على جدار حماية مضمن يمكن تكوينه للسماح بالاتصال على مستوى الخادم أو قاعدة البيانات. يمنح هذا المستخدمين الكثير من الخيارات للتأكد من أن الأشياء الصحيحة تتحدث.
بالنسبة للتطبيقات الموجودة داخل Azure للاتصال بقاعدة بيانات Azure SQL ، يوجد إعداد "السماح بخدمات Azure" على الخادم الذي يعيّن عناوين IP للبداية والنهاية إلى 0.0.0.0. يسمى "AllowAllWindowsAzureIps" ، ويبدو أنه غير ضار ، ولكن هذا الخيار قام بتكوين جدار حماية قاعدة بيانات Azure SQL ليس فقط للسماح لجميع الاتصالات من تكوين Azure الخاص بك ولكن من أي وقت تكوينات Azure. باستخدام هذه الميزة ، يمكنك فتح قاعدة البيانات الخاصة بك للسماح بالاتصالات من العملاء الآخرين ، مما يزيد من الضغط على عمليات تسجيل الدخول وإدارة الهوية.
هناك شيء واحد يجب ملاحظته وهو ما إذا كان هناك أي عناوين IP عامة مسموح بها لقاعدة بيانات Azure SQL. من غير المعتاد القيام بذلك ، وعلى الرغم من أنه يمكنك استخدام الإعداد الافتراضي ، فهذا لا يعني أنه يجب عليك ذلك. ستحتاج إلى تقليل سطح الهجوم لخادم SQL - تتمثل إحدى طرق القيام بذلك في تحديد قواعد جدار الحماية بعناوين IP الدقيقة. حدد القائمة الدقيقة للعناوين المتاحة من كل من مراكز البيانات والموارد الأخرى.
أمازون ويب سيرفيسز (أوس)
إقليم شرق المتوسط هو حل البيانات الضخمة من أمازون. يوفر معالجة البيانات والتحليلات التفاعلية والتعلم الآلي باستخدام أطر عمل مفتوحة المصدر. مع ذلك ، يعد مفاوض الموارد الآخر (YARN) شرطًا أساسيًا لإطار عمل Hadoop ، والذي تستخدمه EMR. القلق هو أن YARN على الخادم الرئيسي لـ EMR يعرض واجهة برمجة تطبيقات نقل الحالة التمثيلية ، مما يسمح للمستخدمين عن بُعد بإرسال تطبيقات جديدة إلى المجموعة. لا يتم تمكين عناصر التحكم في الأمان في AWS افتراضيًا هنا.
هذا هو التكوين الافتراضي الذي قد لا يتم ملاحظته لأنه يقع عند تقاطع طرق مختلفين. هذه المشكلة هي شيء نجده في سياساتنا الخاصة التي تبحث عن منافذ مفتوحة مفتوحة للإنترنت ، ولكن نظرًا لأنها منصة ، يمكن أن يشعر العملاء بالارتباك من وجود بنية تحتية أساسية EC2 تجعل EMR تعمل. علاوة على ذلك ، عندما يذهبون للتحقق من ملف configالتبول ، يمكن أن يحدث التباس عندما يلاحظون أنه في تكوين EMR ، يرون أن إعداد "حظر الوصول العام" ممكّنًا. حتى مع تمكين هذا الإعداد الافتراضي ، يعرض EMR المنفذ 22 و 8088 ، والذي يمكن استخدامه لتنفيذ التعليمات البرمجية عن بُعد. إذا لم يتم حظر ذلك بواسطة سياسة التحكم في الخدمة (SCP) ، أو قائمة التحكم في الوصول ، أو جدار الحماية على المضيف (مثل Linux IPTables) ، فإن الماسحات الضوئية المعروفة على الإنترنت تبحث بنشاط عن هذه الإعدادات الافتراضية.
غوغل كلاود بلاتفورم (غب)
تجسد GCP فكرة أن الهوية هي المحيط الجديد للسحابة. يستخدم نظام أذونات قويًا وحبيبيًا. ومع ذلك ، فإن المشكلة الأكثر شيوعًا التي تؤثر على الأشخاص تتعلق بحسابات الخدمة. تكمن هذه المشكلة في معايير CIS الخاصة بـ GCP.
لأن حسابات الخدمة تستخدم لتقديم الخدمات في GCP القدرة على إجراء مكالمات API المصرح بها ، كثيرًا ما يتم إساءة استخدام الإعدادات الافتراضية في الإنشاء. تسمح حسابات الخدمة للمستخدمين الآخرين أو حسابات الخدمة الأخرى بانتحال صفتها. من المهم أن تفهم السياق الأعمق للقلق ، والذي قد يكون وصولاً غير مقيد بالكامل إلى بيئتك ، والذي قد يحيط بهذه الإعدادات الافتراضية. بعبارة أخرى ، في السحابة ، يمكن أن يكون للتكوين الخاطئ البسيط نصف قطر انفجار أكبر مما تراه العين. يمكن أن يبدأ مسار هجوم السحابة بتكوين خاطئ ، ولكنه ينتهي عند بياناتك الحساسة من خلال تصعيد الامتيازات ، والحركة الجانبية ، والسرية. أذونات فعالة.
يتم تعيين دور المحرر لجميع حسابات الخدمة الافتراضية التي يديرها المستخدم (ولكن ليس من إنشاء المستخدم) لدعم الخدمات في GCP التي يقدمونها. الإصلاح ليس بالضرورة إزالة بسيطة لدور المحرر ، لأن القيام بذلك قد يؤدي إلى تعطيل وظائف الخدمة. هذا هو المكان الذي يصبح فيه الفهم العميق للأذونات أمرًا مهمًا لأنك يجب أن تعرف بالضبط الأذونات التي يستخدمها حساب الخدمة أو لا يستخدمها ، وبمرور الوقت. نظرًا لخطر احتمال أن تكون الهوية البرمجية أكثر عرضة لسوء الاستخدام ، فإن الاستفادة من النظام الأساسي للأمان للحصول على امتياز على الأقل يصبح أمرًا حيويًا.
في حين أن هذه مجرد أمثلة قليلة داخل السحب الرئيسية ، آمل أن يلهمك هذا لإلقاء نظرة فاحصة على عناصر التحكم والتكوينات الخاصة بك. موفرو السحابة ليسوا مثاليين. إنهم عرضة للخطأ البشري ، ونقاط الضعف ، والثغرات الأمنية ، تمامًا مثل بقيتنا. وعلى الرغم من أن موفري الخدمات السحابية يقدمون بنية تحتية آمنة بشكل استثنائي ، فمن الأفضل دائمًا بذل جهد إضافي وعدم الاكتفاء أبدًا بنظافة الأمان لديك. غالبًا ما يترك الإعداد الافتراضي نقاطًا عمياء ، ويتطلب تحقيق الأمان الحقيقي بذل الجهد والصيانة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- القدرة
- الوصول
- حسابي
- الحسابات
- تحقيق
- بنشاط
- عناوين
- مشرف
- الكل
- السماح
- دائما
- أمازون
- تحليلات
- و
- آخر
- API
- تطبيق
- التطبيقات
- التطبيقات
- تعيين
- مهاجمة
- متاح
- AWS
- Azure
- لان
- يصبح
- يجري
- المعايير
- أفضل
- حظر
- سدت
- استراحة
- مدمج
- تسمى
- دعوات
- يستطيع الحصول على
- مراكز
- التحقق
- رابطة الدول المستقلة
- واضح
- اغلاق
- سحابة
- منصة سحابة
- كتلة
- الكود
- COM
- تأتي
- قلق
- اهتمامات
- الاعداد
- الخلط
- ارتباك
- التواصل
- التواصل
- الإتصال
- نظر
- سياق الكلام
- مراقبة
- ضوابط
- استطاع
- زوجان
- خلق
- مفترق
- زبون
- العملاء
- الأخطار
- البيانات
- مراكز البيانات
- معالجة المعلومات
- قاعدة البيانات
- قواعد البيانات
- عميق
- أعمق
- الترتيب
- الافتراضات
- تحديد
- مختلف
- فعل
- رئيس التحرير
- جهد
- تمكين
- ضمان
- البيئة
- خطأ
- حتى
- بالضبط
- أمثلة
- احتفل على
- عين
- الميزات
- قليل
- جدار الحماية
- حل
- الإطار
- الأطر
- كثيرا
- تبدأ من
- تماما
- وظيفة
- دولار فقط واحصل على خصم XNUMX% على جميع
- يعطي
- Go
- شراء مراجعات جوجل
- أكبر
- هنا
- أمل
- لكن
- HTTPS
- الانسان
- فكرة
- هوية
- إدارة الهوية
- أهمية
- in
- البنية التحتية
- التفاعلية
- Internet
- IP
- عناوين الانترنت بروتوكول
- قضية
- IT
- علم
- معروف
- تعلم
- يترك
- مستوى
- الاستفادة من
- لينكس
- قائمة
- بحث
- أبحث
- الكثير
- آلة
- آلة التعلم
- الرئيسية
- صيانة
- رائد
- جعل
- القيام ب
- تمكن
- إدارة
- يجتمع
- ربما
- مانع
- الأكثر من ذلك
- أكثر
- حركة
- بالضرورة
- إحتياجات
- جديد
- عرض
- عروض
- ONE
- جاكيت
- المصدر المفتوح
- خيار
- مزيد من الخيارات
- منظمة
- أخرى
- الخاصة
- كلمات السر
- مسار
- مجتمع
- أذونات
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- سياسة
- يحتمل
- قوي
- الضغط
- معالجة
- برنامجي
- مقدمي
- جمهور
- وضع
- موصى به
- تخفيض
- عن بعد
- إزالة
- مورد
- الموارد
- REST
- مما أدى
- مراجعة
- المخاطرة
- النوع
- القواعد
- تأمين
- أمن
- حساس
- الخدمة
- مقدمي الخدمة
- خدمات
- باكجات
- ضبط
- إعدادات
- ينبغي
- الاشارات
- So
- حل
- بعض
- شيء
- مصدر
- بداية
- ابتداء
- الولايه او المحافظه
- تقدم
- الدعم
- المساحة
- المحيط
- عرضة
- نظام
- أخذ
- يأخذ
- الحديث
- •
- شيء
- الأشياء
- عبر
- الوقت
- إلى
- تحويل
- صحيح
- التي تقوم عليها
- فهم
- فهم
- us
- قابليتها للاستخدام
- تستخدم
- مستخدم
- المستخدمين
- يستخدم
- الباعة
- حيوي
- نقاط الضعف
- الويب
- خدمات ويب
- ابحث عن
- سواء
- التي
- في حين
- سوف
- في غضون
- كلمات
- للعمل
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت