Wenn Sie im Zusammenhang mit der Cloud „Standardeinstellungen“ hören, können Ihnen einige Dinge in den Sinn kommen: Standard-Admin-Passwörter beim Einrichten einer neuen Anwendung, ein öffentlicher AWS S3-Bucket oder Standardbenutzerzugriff. Häufig betrachten Anbieter und Anbieter die Benutzerfreundlichkeit und Benutzerfreundlichkeit für den Kunden als wichtiger als die Sicherheit, was zu Standardeinstellungen führt. Eines muss klar sein: Nur weil eine Einstellung oder ein Steuerelement standardmäßig ist, heißt das nicht, dass sie empfohlen oder sicher ist.
Im Folgenden sehen wir uns einige Beispiele für Standardwerte an, die Ihr Unternehmen gefährden können.
Azure
Azure SQL-Datenbanken verfügen im Gegensatz zu Azure SQL Managed Instances über eine integrierte Firewall, die so konfiguriert werden kann, dass sie Verbindungen auf Server- oder Datenbankebene zulässt. Dies gibt Benutzern viele Optionen, um sicherzustellen, dass die richtigen Dinge sprechen.
Damit Anwendungen innerhalb von Azure eine Verbindung zu einer Azure SQL-Datenbank herstellen können, gibt es auf dem Server eine Einstellung „Azure-Dienste zulassen“, die die Start- und End-IP-Adressen auf 0.0.0.0 festlegt. „AllowAllWindowsAzureIps“ genannt, klingt harmlos, aber diese Option konfiguriert die Azure SQL-Datenbank-Firewall so, dass nicht nur alle Verbindungen von Ihrer Azure-Konfiguration zugelassen werden, sondern auch von jedem Azure-Konfigurationen. Durch die Verwendung dieser Funktion öffnen Sie Ihre Datenbank, um Verbindungen von anderen Kunden zuzulassen, wodurch mehr Druck auf Logins und Identitätsmanagement ausgeübt wird.
Beachten Sie, ob öffentliche IP-Adressen für die Azure SQL-Datenbank zulässig sind. Es ist ungewöhnlich, dies zu tun, und obwohl Sie die Standardeinstellung verwenden können, bedeutet dies nicht, dass Sie dies tun sollten. Sie sollten die Angriffsfläche für einen SQL-Server verringern – eine Möglichkeit, dies zu tun, besteht darin, Firewall-Regeln mit granularen IP-Adressen zu definieren. Definieren Sie die genaue Liste der verfügbaren Adressen von Rechenzentren und anderen Ressourcen.
Amazon Web Services (AWS)
EMR ist eine Big-Data-Lösung von Amazon. Es bietet Datenverarbeitung, interaktive Analysen und maschinelles Lernen mit Open-Source-Frameworks. Yet Another Resource Negotiator (YARN) ist eine Voraussetzung für das Hadoop-Framework, das EMR verwendet. Die Sorge ist, dass YARN auf dem Hauptserver von EMR eine repräsentative Zustandsübertragungs-API offenlegt, die es entfernten Benutzern ermöglicht, neue Apps an den Cluster zu senden. Sicherheitskontrollen in AWS sind hier standardmäßig nicht aktiviert.
Dies ist eine Standardkonfiguration, die möglicherweise nicht bemerkt wird, da sie sich an verschiedenen Kreuzungen befindet. Dieses Problem finden wir bei unseren eigenen Richtlinien, die nach offenen Ports suchen, die für das Internet offen sind, aber da es sich um eine Plattform handelt, können Kunden verwirrt werden, dass es eine zugrunde liegende EC2-Infrastruktur gibt, die EMR zum Laufen bringt. Außerdem, wenn sie gehen, um die Konfiguration zu überprüfenuration kann es zu Verwirrung kommen, wenn sie bemerken, dass in der Konfiguration für EMR die Einstellung „Öffentlichen Zugriff blockieren“ aktiviert ist. Selbst wenn diese Standardeinstellung aktiviert ist, legt EMR Port 22 und 8088 offen, die für die Remotecodeausführung verwendet werden können. Wenn dies nicht durch eine Dienststeuerungsrichtlinie (SCP), eine Zugriffssteuerungsliste oder eine On-Host-Firewall (z. B. Linux IPTables) blockiert wird, suchen bekannte Scanner im Internet aktiv nach diesen Standardeinstellungen.
Google Cloud Platform (GCP)
Die GCP verkörpert die Idee, dass die Identität der neue Perimeter der Cloud ist. Es verwendet ein leistungsstarkes und granulares Berechtigungssystem. Das eine allgegenwärtige Problem, das die Menschen am meisten betrifft, betrifft jedoch Dienstkonten. Dieses Problem betrifft die CIS-Benchmarks für GCP.
Denn Dienstkonten werden zum Verschenken verwendet Dienste in der GCP die Möglichkeit, autorisierte API-Aufrufe durchzuführen, werden die Vorgaben bei der Erstellung häufig missbraucht. Dienstkonten ermöglichen es anderen Benutzern oder anderen Dienstkonten, sich für sie auszugeben. Es ist wichtig, den tieferen Kontext der Bedenken zu verstehen, der diese Standardeinstellungen umgeben könnte, was ein vollständig uneingeschränkter Zugriff in Ihrer Umgebung sein könnte. Mit anderen Worten, in der Cloud kann eine einfache Fehlkonfiguration einen größeren Explosionsradius haben als das, was mit bloßem Auge erscheint. Ein Cloud-Angriffspfad kann mit einer Fehlkonfiguration beginnen, aber durch Rechteausweitung, seitliche Bewegung und verdeckte Angriffe bei Ihren sensiblen Daten enden wirksame Berechtigungen.
Allen nutzerverwalteten (aber nicht nutzererstellten) Standarddienstkonten ist die Bearbeiterrolle zugewiesen, um die von ihnen angebotenen Dienste in der GCP zu unterstützen. Die Lösung ist nicht unbedingt eine einfache Entfernung der Editor-Rolle, da dies die Funktionalität des Diensts beeinträchtigen könnte. Hier ist ein tiefes Verständnis der Berechtigungen wichtig, da Sie genau wissen müssen, welche Berechtigungen das Dienstkonto im Laufe der Zeit verwendet oder nicht verwendet. Aufgrund des Risikos, dass eine programmatische Identität möglicherweise anfälliger für Missbrauch ist, wird die Nutzung einer Sicherheitsplattform, um zumindest Privilegien zu erhalten, unerlässlich.
Obwohl dies nur einige Beispiele innerhalb der großen Clouds sind, hoffe ich, dass dies Sie dazu inspirieren wird, sich Ihre Steuerelemente und Konfigurationen genau anzusehen. Cloud-Anbieter sind nicht perfekt. Sie sind anfällig für menschliche Fehler, Schwachstellen und Sicherheitslücken, genau wie der Rest von uns. Und obwohl Cloud-Service-Anbieter eine außergewöhnlich sichere Infrastruktur bieten, ist es immer am besten, die Extrameile zu gehen und bei Ihrer Sicherheitshygiene niemals selbstzufrieden zu sein. Oft hinterlässt eine Standardeinstellung blinde Flecken, und das Erreichen echter Sicherheit erfordert Aufwand und Wartung.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- Fähigkeit
- Zugang
- Konto
- Trading Konten
- Erreichen
- aktiv
- Adressen
- Administrator
- Alle
- Zulassen
- immer
- Amazon
- Analytik
- und
- Ein anderer
- Bienen
- Anwendung
- Anwendungen
- Apps
- zugewiesen
- Attacke
- verfügbar
- AWS
- Azure
- weil
- wird
- Sein
- Benchmarks
- BESTE
- Blockieren
- verstopft
- Break
- eingebaut
- namens
- Aufrufe
- Kann bekommen
- Centers
- aus der Ferne überprüfen
- CIS
- klar
- Menu
- Cloud
- Cloud-Plattform
- Cluster
- Code
- COM
- wie die
- Hautpflegeprobleme
- Bedenken
- Konfiguration
- verwirrt
- Verwirrung
- Vernetz Dich
- Verbindungen
- Konnektivität
- Geht davon
- Kontext
- Smartgeräte App
- Steuerung
- könnte
- Paar
- Schaffung
- Kreuzung
- Kunde
- Kunden
- Gefahren
- technische Daten
- Rechenzentren
- Datenverarbeitung
- Datenbase
- Datenbanken
- tief
- tiefer
- Standard
- defaults
- Definition
- anders
- Dabei
- Herausgeber
- Anstrengung
- freigegeben
- gewährleisten
- Arbeitsumfeld
- Fehler
- Sogar
- genau
- Beispiele
- Ausführung
- extra
- Auge
- Merkmal
- wenige
- Finden Sie
- Firewall
- Fixieren
- Unser Ansatz
- Gerüste
- häufig
- für
- voll
- Funktionalität
- bekommen
- gibt
- Go
- mehr
- hier
- ein Geschenk
- aber
- HTTPS
- human
- Idee
- Identitätsschutz
- Identity Management
- wichtig
- in
- Infrastruktur
- interaktive
- Internet
- IP
- IP-Adressen
- Problem
- IT
- Wissen
- bekannt
- lernen
- Verlassen
- Niveau
- Nutzung
- linux
- Liste
- aussehen
- suchen
- Los
- Maschine
- Maschinelles Lernen
- Main
- Wartung
- Dur
- um
- Making
- verwaltet
- Management
- Trifft
- könnte
- Geist / Bewusstsein
- mehr
- vor allem warme
- Bewegung
- Notwendig
- Bedürfnisse
- Neu
- bieten
- Angebote
- EINEM
- XNUMXh geöffnet
- Open-Source-
- Option
- Optionen
- Organisation
- Andere
- besitzen
- Passwörter
- Weg
- Personen
- perfekt
- Berechtigungen
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politik durchzulesen
- Datenschutzrichtlinien
- möglicherweise
- größte treibende
- Druck
- Verarbeitung
- Programmatic
- Anbieter
- Öffentlichkeit
- Putting
- empfohlen
- Veteran
- entfernt
- Entfernung
- Ressourcen
- Downloads
- REST
- was zu
- Überprüfen
- Risiko
- Rollen
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Verbindung
- Sicherheitdienst
- empfindlich
- Dienstleister
- Leistungen
- Sets
- Einstellung
- Einstellungen
- sollte
- Einfacher
- So
- Lösung
- einige
- etwas
- Quelle
- Anfang
- Beginnen Sie
- Bundesstaat
- abschicken
- Support
- Oberfläche
- Umgebung
- empfänglich
- System
- Nehmen
- nimmt
- sprechen
- Das
- Ding
- Durch
- Zeit
- zu
- privaten Transfer
- was immer dies auch sein sollte.
- zugrunde liegen,
- verstehen
- Verständnis
- us
- Nutzbarkeit
- -
- Mitglied
- Nutzer
- die
- Anbieter
- lebenswichtig
- Sicherheitslücken
- Netz
- Web-Services
- Was
- ob
- welche
- während
- werden wir
- .
- Worte
- Arbeiten
- Du
- Ihr
- Zephyrnet