Når du hører "standardindstillinger" i forbindelse med skyen, kan et par ting komme til at tænke på: standardadminadgangskoder, når du opsætter en ny applikation, en offentlig AWS S3-bøtte eller standardbrugeradgang. Ofte betragter leverandører og udbydere kundernes anvendelighed og lethed som vigtigere end sikkerhed, hvilket resulterer i standardindstillinger. En ting skal være klar: Bare fordi en indstilling eller kontrol er standard, betyder det ikke, at den er anbefalet eller sikker.
Nedenfor gennemgår vi nogle eksempler på standarder, der kan bringe din organisation i fare.
Azure
Azure SQL-databaser har i modsætning til Azure SQL Managed Instances en indbygget firewall, der kan konfigureres til at tillade forbindelse på server- eller databaseniveau. Dette giver brugerne en masse muligheder for at sikre, at de rigtige ting taler.
For at programmer inde i Azure kan oprette forbindelse til en Azure SQL-database, er der en "Tillad Azure Services"-indstilling på serveren, der indstiller start- og slut-IP-adresserne til 0.0.0.0. Kaldet "AllowAllWindowsAzureIps" lyder det harmløst, men denne indstilling konfigurerede Azure SQL Database-firewallen til ikke kun at tillade alle forbindelser fra din Azure-konfiguration, men fra enhver Azure-konfigurationer. Ved at bruge denne funktion åbner du din database for at tillade forbindelser fra andre kunder, hvilket lægger mere pres på logins og identitetsstyring.
En ting at bemærke er, om der er nogen offentlige IP-adresser tilladt til Azure SQL-databasen. Det er usædvanligt at gøre det, og selvom du kan bruge standarden, betyder det ikke, at du skal. Du vil gerne reducere angrebsoverfladen for en SQL-server - en måde at gøre dette på er ved at definere firewallregler med granulære IP-adresser. Definer den nøjagtige liste over tilgængelige adresser fra både datacentre og andre ressourcer.
Amazon Web Services (AWS)
EMR er en big-data-løsning fra Amazon. Det tilbyder databehandling, interaktiv analyse og maskinlæring ved hjælp af open source-rammer. Yet Another Resource Negotiator (YARN) er en forudsætning for Hadoop-rammen, som EMR bruger. Bekymringen er, at YARN på EMR's hovedserver afslører en repræsentativ tilstandsoverførsels-API, der tillader fjernbrugere at indsende nye apps til klyngen. Sikkerhedskontrol i AWS er ikke aktiveret som standard her.
Dette er en standardkonfiguration, som muligvis ikke bemærkes, fordi den sidder ved et par forskellige korsveje. Dette problem er noget, vi finder med vores egne politikker, der leder efter åbne porte, der er åbne til internettet, men fordi det er en platform, kan kunderne blive forvirrede over, at der er en underliggende EC2-infrastruktur, der får EMR til at fungere. Desuden, når de går for at kontrollere konfigurationenuration, kan der opstå forvirring, når de bemærker, at de i konfigurationen til EMR ser, at indstillingen "bloker offentlig adgang" er aktiveret. Selv med denne standardindstilling aktiveret, afslører EMR port 22 og 8088, som kan bruges til fjernudførelse af kode. Hvis dette ikke er blokeret af en tjenestekontrolpolitik (SCP), adgangskontrolliste eller firewall på værten (f.eks. Linux IPTables), leder kendte scannere på internettet aktivt efter disse standardindstillinger.
Google Cloud Platform (GCP)
GCP legemliggør ideen om, at identitet er skyens nye omkreds. Det bruger et kraftfuldt og granulært tilladelsessystem. Men det ene gennemgående problem, der påvirker folk mest, vedrører servicekonti. Dette problem findes i CIS-benchmarks for GCP.
Fordi servicekonti bruges til at give tjenester i GCP muligheden for at foretage autoriserede API-kald, bliver standardindstillingerne i oprettelsen ofte misbrugt. Tjenestekonti giver andre brugere eller andre tjenestekonti mulighed for at efterligne dem. Det er vigtigt at forstå den dybere bekymringskontekst, som kan være fuldstændig uhindret adgang i dit miljø, der kan være omkring disse standardindstillinger. Med andre ord, i skyen kan en simpel fejlkonfiguration have en større eksplosionsradius end hvad man kan se. En skyangrebssti kan starte ved en forkert konfiguration, men ende ved dine følsomme data gennem privilegieeskaleringer, lateral bevægelse og skjult effektive tilladelser.
Alle brugeradministrerede (men ikke brugeroprettede) standardtjenestekonti har rollen som redaktør tildelt dem for at understøtte de tjenester i GCP, de tilbyder. Rettelsen er ikke nødvendigvis en simpel fjernelse af redaktørrollen, da det kan ødelægge tjenestens funktionalitet. Det er her, en dyb forståelse af tilladelser bliver vigtig, fordi du skal vide præcis, hvilke tilladelser Servicekontoen bruger eller ikke bruger, og over tid. På grund af risikoen for, at en programmatisk identitet potentielt er mere modtagelig for misbrug, bliver det afgørende at udnytte en sikkerhedsplatform til at få privilegier.
Selvom disse blot er nogle få eksempler inden for de store skyer, håber jeg, at dette vil inspirere dig til at se nærmere på dine kontroller og konfigurationer. Cloud-udbydere er ikke perfekte. De er modtagelige for menneskelige fejl, sårbarheder og sikkerhedshuller, ligesom resten af os. Og selvom cloud-tjenesteudbydere tilbyder usædvanlig sikker infrastruktur, er det altid bedst at gå den ekstra mil og aldrig være selvtilfreds med din sikkerhedshygiejne. Ofte efterlader en standardindstilling blinde vinkler, og at opnå ægte sikkerhed kræver indsats og vedligeholdelse.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- evne
- adgang
- Konto
- Konti
- opnå
- aktivt
- adresser
- admin
- Alle
- tillade
- altid
- Amazon
- analytics
- ,
- En anden
- api
- Anvendelse
- applikationer
- apps
- tildelt
- angribe
- til rådighed
- AWS
- Azure
- fordi
- bliver
- være
- Benchmarks
- BEDSTE
- Bloker
- blokeret
- Pause
- indbygget
- kaldet
- Opkald
- Kan få
- Centers
- kontrollere
- CIS
- klar
- Luk
- Cloud
- Cloud platform
- Cluster
- kode
- KOM
- Kom
- Bekymring
- Bekymringer
- Konfiguration
- forvirret
- forvirring
- Tilslut
- Tilslutninger
- Connectivity
- Overvej
- sammenhæng
- kontrol
- kontrol
- kunne
- Par
- skabelse
- Vejkryds
- kunde
- Kunder
- farer
- data
- datacentre
- databehandling
- Database
- databaser
- dyb
- dybere
- Standard
- defaults
- definere
- forskellige
- gør
- editor
- indsats
- aktiveret
- sikre
- Miljø
- fejl
- Endog
- præcist nok
- eksempler
- udførelse
- ekstra
- øje
- Feature
- få
- Finde
- firewall
- Fix
- Framework
- rammer
- hyppigt
- fra
- fuldt ud
- funktionalitet
- få
- giver
- Go
- større
- link.
- håber
- Men
- HTTPS
- menneskelig
- idé
- Identity
- identitetsstyring
- vigtigt
- in
- Infrastruktur
- interaktiv
- Internet
- IP
- IP-adresser
- spørgsmål
- IT
- Kend
- kendt
- læring
- Forlade
- Niveau
- løftestang
- linux
- Liste
- Se
- leder
- Lot
- maskine
- machine learning
- Main
- vedligeholdelse
- større
- lave
- Making
- lykkedes
- ledelse
- opfylder
- måske
- tankerne
- mere
- mest
- bevægelse
- nødvendigvis
- behov
- Ny
- tilbyde
- Tilbud
- ONE
- åbent
- open source
- Option
- Indstillinger
- organisation
- Andet
- egen
- Nulstilling/ændring af adgangskoder
- sti
- Mennesker
- perfekt
- Tilladelser
- perron
- plato
- Platon Data Intelligence
- PlatoData
- politikker
- politik
- potentielt
- vigtigste
- tryk
- forarbejdning
- programmatisk
- udbydere
- offentlige
- Sætte
- anbefales
- reducere
- fjern
- fjernelse
- ressource
- Ressourcer
- REST
- resulterer
- gennemgå
- Risiko
- roller
- regler
- sikker
- sikkerhed
- følsom
- tjeneste
- service-udøvere
- Tjenester
- sæt
- indstilling
- indstillinger
- bør
- Simpelt
- So
- løsninger
- nogle
- noget
- Kilde
- starte
- Starter
- Tilstand
- indsende
- support
- overflade
- Omkringliggende
- modtagelig
- systemet
- Tag
- tager
- taler
- ting
- ting
- Gennem
- tid
- til
- overførsel
- sand
- underliggende
- forstå
- forståelse
- us
- usability
- brug
- Bruger
- brugere
- udnytter
- leverandører
- afgørende
- Sårbarheder
- web
- webservices
- Hvad
- hvorvidt
- som
- mens
- vilje
- inden for
- ord
- Arbejde
- Du
- Din
- zephyrnet