Όταν ακούτε "προεπιλεγμένες ρυθμίσεις" στο πλαίσιο του cloud, μερικά πράγματα μπορούν να σας έρθουν στο μυαλό: προεπιλεγμένοι κωδικοί πρόσβασης διαχειριστή κατά τη ρύθμιση μιας νέας εφαρμογής, δημόσιος κάδος AWS S3 ή προεπιλεγμένη πρόσβαση χρήστη. Συχνά, οι προμηθευτές και οι πάροχοι θεωρούν τη χρηστικότητα και την ευκολία των πελατών πιο σημαντικά από την ασφάλεια, με αποτέλεσμα τις προεπιλεγμένες ρυθμίσεις. Ένα πράγμα πρέπει να είναι σαφές: Το ότι μια ρύθμιση ή ένα στοιχείο ελέγχου είναι προεπιλεγμένο δεν σημαίνει ότι συνιστάται ή είναι ασφαλές.
Παρακάτω, θα εξετάσουμε ορισμένα παραδείγματα προεπιλογών που μπορεί να θέσουν σε κίνδυνο τον οργανισμό σας.
Γαλανός
Οι βάσεις δεδομένων Azure SQL, σε αντίθεση με τις διαχειριζόμενες παρουσίες Azure SQL, διαθέτουν ενσωματωμένο τείχος προστασίας που μπορεί να ρυθμιστεί ώστε να επιτρέπει τη συνδεσιμότητα σε επίπεδο διακομιστή ή βάσης δεδομένων. Αυτό δίνει στους χρήστες πολλές επιλογές για να διασφαλίσουν ότι μιλάνε τα σωστά πράγματα.
Για εφαρμογές μέσα στο Azure για σύνδεση σε μια βάση δεδομένων Azure SQL, υπάρχει μια ρύθμιση "Να επιτρέπονται οι υπηρεσίες Azure" στο διακομιστή που ορίζει τις διευθύνσεις IP έναρξης και λήξης σε 0.0.0.0. Ονομάζεται "AllowAllWindowsAzureIps", ακούγεται αβλαβές, αλλά αυτή η επιλογή διαμόρφωσε το τείχος προστασίας της βάσης δεδομένων Azure SQL ώστε όχι μόνο να επιτρέπει όλες τις συνδέσεις από τη διαμόρφωση του Azure αλλά και από κάθε Azure διαμορφώσεις. Χρησιμοποιώντας αυτήν τη δυνατότητα, ανοίγετε τη βάση δεδομένων σας για να επιτρέψετε συνδέσεις από άλλους πελάτες, ασκώντας μεγαλύτερη πίεση στις συνδέσεις και τη διαχείριση ταυτότητας.
Ένα πράγμα που πρέπει να σημειωθεί είναι εάν επιτρέπονται δημόσιες διευθύνσεις IP στη βάση δεδομένων Azure SQL. Είναι ασυνήθιστο να το κάνετε και, ενώ μπορείτε να χρησιμοποιήσετε την προεπιλογή, δεν σημαίνει ότι πρέπει. Θα θέλετε να μειώσετε την επιφάνεια επίθεσης για έναν διακομιστή SQL — ένας τρόπος για να το κάνετε αυτό είναι να ορίσετε κανόνες τείχους προστασίας με αναλυτικές διευθύνσεις IP. Καθορίστε την ακριβή λίστα των διαθέσιμων διευθύνσεων τόσο από κέντρα δεδομένων όσο και από άλλους πόρους.
Amazon Web Services (AWS)
EMR είναι μια λύση μεγάλων δεδομένων από την Amazon. Προσφέρει επεξεργασία δεδομένων, διαδραστικά αναλυτικά στοιχεία και μηχανική μάθηση χρησιμοποιώντας πλαίσια ανοιχτού κώδικα. Το Yet Another Resource Negotiator (YARN) αποτελεί προϋπόθεση για το πλαίσιο Hadoop, το οποίο χρησιμοποιεί το EMR. Η ανησυχία είναι ότι το YARN στον κύριο διακομιστή του EMR εκθέτει ένα API μεταφοράς αναπαραστατικής κατάστασης, επιτρέποντας στους απομακρυσμένους χρήστες να υποβάλλουν νέες εφαρμογές στο σύμπλεγμα. Τα στοιχεία ελέγχου ασφαλείας στο AWS δεν είναι ενεργοποιημένα από προεπιλογή εδώ.
Αυτή είναι μια προεπιλεγμένη διαμόρφωση που μπορεί να μην γίνει αντιληπτή επειδή βρίσκεται σε μερικά διαφορετικά σταυροδρόμια. Αυτό το ζήτημα είναι κάτι που βρίσκουμε με τις δικές μας πολιτικές που αναζητούν ανοιχτές θύρες ανοιχτές στο Διαδίκτυο, αλλά επειδή είναι μια πλατφόρμα, οι πελάτες μπορεί να μπερδευτούν ότι υπάρχει μια υποκείμενη υποδομή EC2 που κάνει το EMR να λειτουργεί. Επιπλέον, όταν πάνε να ελέγξουν τη διαμόρφωσημπορεί να προκληθεί σύγχυση όταν παρατηρήσουν ότι στη ρύθμιση παραμέτρων για το EMR, βλέπουν ότι η ρύθμιση "αποκλεισμός δημόσιας πρόσβασης" είναι ενεργοποιημένη. Ακόμη και με ενεργοποιημένη αυτήν την προεπιλεγμένη ρύθμιση, το EMR εκθέτει τις θύρες 22 και 8088, οι οποίες μπορούν να χρησιμοποιηθούν για την απομακρυσμένη εκτέλεση κώδικα. Εάν αυτό δεν αποκλείεται από πολιτική ελέγχου υπηρεσίας (SCP), λίστα ελέγχου πρόσβασης ή τείχος προστασίας στον κεντρικό υπολογιστή (π.χ. Linux IPTables), γνωστοί σαρωτές στο Διαδίκτυο αναζητούν ενεργά αυτές τις προεπιλογές.
Πλατφόρμα Google Cloud (GCP)
Το GCP ενσωματώνει την ιδέα ότι η ταυτότητα είναι η νέα περίμετρος του cloud. Χρησιμοποιεί ένα ισχυρό και αναλυτικό σύστημα αδειών. Ωστόσο, το ένα διάχυτο ζήτημα που επηρεάζει περισσότερο τους ανθρώπους αφορά τους Λογαριασμούς Υπηρεσιών. Αυτό το ζήτημα βρίσκεται στα σημεία αναφοράς CIS για GCP.
Επειδή οι Λογαριασμοί Υπηρεσιών χρησιμοποιούνται για να δίνουν υπηρεσίες στο GCP τη δυνατότητα πραγματοποίησης εξουσιοδοτημένων κλήσεων API, οι προεπιλογές στη δημιουργία χρησιμοποιούνται συχνά. Οι Λογαριασμοί Υπηρεσιών επιτρέπουν σε άλλους Χρήστες ή άλλους Λογαριασμούς Υπηρεσιών να τον πλαστοπροσωπήσουν. Είναι σημαντικό να κατανοήσετε το βαθύτερο πλαίσιο ανησυχίας, το οποίο θα μπορούσε να είναι η πλήρως απεριόριστη πρόσβαση στο περιβάλλον σας, που θα μπορούσε να περιβάλλει αυτές τις προεπιλεγμένες ρυθμίσεις. Με άλλα λόγια, στο σύννεφο, μια απλή εσφαλμένη διαμόρφωση μπορεί να έχει μεγαλύτερη ακτίνα έκρηξης από αυτή που συναντά το μάτι. Μια διαδρομή επίθεσης στο σύννεφο μπορεί να ξεκινά με εσφαλμένη διαμόρφωση, αλλά να καταλήγει στα ευαίσθητα δεδομένα σας μέσω κλιμακώσεων προνομίων, πλευρικών κινήσεων και κρυφών αποτελεσματικές άδειες.
Όλοι οι προεπιλεγμένοι λογαριασμοί υπηρεσίας που διαχειρίζονται οι χρήστες (αλλά δεν έχουν δημιουργηθεί από τον χρήστη) τους έχει εκχωρηθεί ο ρόλος του Editor για την υποστήριξη των υπηρεσιών στο GCP που προσφέρουν. Η επιδιόρθωση δεν είναι απαραίτητα μια απλή κατάργηση του ρόλου του Editor, καθώς κάτι τέτοιο μπορεί να διαταράξει τη λειτουργικότητα της υπηρεσίας. Αυτό είναι όπου η βαθιά κατανόηση των δικαιωμάτων καθίσταται σημαντική, επειδή πρέπει να γνωρίζετε ακριβώς ποια δικαιώματα χρησιμοποιεί ή δεν χρησιμοποιεί ο Λογαριασμός Υπηρεσίας και με την πάροδο του χρόνου. Λόγω του κινδύνου ότι μια ταυτότητα προγραμματισμού είναι δυνητικά πιο επιρρεπής σε κακή χρήση, η αξιοποίηση μιας πλατφόρμας ασφαλείας για να αποκτήσετε τουλάχιστον προνόμια καθίσταται ζωτικής σημασίας.
Αν και αυτά είναι μερικά μόνο παραδείγματα στα κύρια σύννεφα, ελπίζω ότι αυτό θα σας εμπνεύσει να ρίξετε μια προσεκτική ματιά στα χειριστήρια και τις διαμορφώσεις σας. Οι πάροχοι cloud δεν είναι τέλειοι. Είναι επιρρεπείς σε ανθρώπινο λάθος, ευπάθειες και κενά ασφάλειας, όπως και οι υπόλοιποι από εμάς. Και ενώ οι πάροχοι υπηρεσιών cloud προσφέρουν εξαιρετικά ασφαλή υποδομή, είναι πάντα καλύτερο να κάνετε το παραπάνω μίλι και να μην εφησυχάζεστε ποτέ όσον αφορά την υγιεινή ασφαλείας σας. Συχνά, μια προεπιλεγμένη ρύθμιση αφήνει τυφλά σημεία και η επίτευξη πραγματικής ασφάλειας απαιτεί προσπάθεια και συντήρηση.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- ικανότητα
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- την επίτευξη
- δραστήρια
- διευθύνσεις
- διαχειριστής
- Όλα
- Επιτρέποντας
- πάντοτε
- Amazon
- analytics
- και
- Άλλος
- api
- Εφαρμογή
- εφαρμογές
- εφαρμογές
- ανατεθεί
- επίθεση
- διαθέσιμος
- AWS
- Γαλανός
- επειδή
- γίνεται
- είναι
- αναφοράς
- ΚΑΛΎΤΕΡΟΣ
- Αποκλεισμός
- μπλοκαριστεί
- Διακοπή
- ενσωματωμένο
- που ονομάζεται
- κλήσεις
- Μπορεί να πάρει
- Κέντρα
- έλεγχος
- CIS
- καθαρός
- Κλεισιμο
- Backup
- Cloud Platform
- συστάδα
- κωδικός
- COM
- Ελάτε
- Ανησυχία
- Πιθανά ερωτήματα
- διαμόρφωση
- συγχέεται
- σύγχυση
- Connect
- Διασυνδέσεις
- Συνδεσιμότητα
- Εξετάστε
- συμφραζόμενα
- έλεγχος
- ελέγχους
- θα μπορούσε να
- Ζευγάρι
- δημιουργία
- Σταυροδρόμι
- πελάτης
- Πελάτες
- κινδύνους
- ημερομηνία
- κέντρα δεδομένων
- επεξεργασία δεδομένων
- βάση δεδομένων
- βάσεις δεδομένων
- βαθύς
- βαθύτερη
- Προεπιλογή
- προεπιλογές
- καθορίζοντας
- διαφορετικές
- πράξη
- συντάκτης
- προσπάθεια
- ενεργοποιημένη
- εξασφαλίζω
- Περιβάλλον
- σφάλμα
- Even
- ακριβώς
- παραδείγματα
- εκτέλεση
- επιπλέον
- μάτι
- Χαρακτηριστικό
- λίγοι
- Εύρεση
- firewall
- σταθερός
- Πλαίσιο
- πλαισίων
- συχνά
- από
- πλήρως
- λειτουργικότητα
- παίρνω
- δίνει
- Go
- μεγαλύτερη
- εδώ
- ελπίζω
- Ωστόσο
- HTTPS
- ανθρώπινος
- ιδέα
- Ταυτότητα
- διαχείριση ταυτότητας
- σημαντικό
- in
- Υποδομή
- διαδραστικό
- Internet
- IP
- Διευθύνσεις IP
- ζήτημα
- IT
- Ξέρω
- γνωστός
- μάθηση
- Άδεια
- Επίπεδο
- μόχλευσης
- linux
- Λίστα
- ματιά
- κοιτάζοντας
- Παρτίδα
- μηχανή
- μάθηση μηχανής
- Κυρίως
- συντήρηση
- μεγάλες
- κάνω
- Κατασκευή
- διαχειρίζεται
- διαχείριση
- πληροί
- ενδέχεται να
- νου
- περισσότερο
- πλέον
- κίνηση
- αναγκαίως
- ανάγκες
- Νέα
- προσφορά
- προσφορές
- ONE
- ανοίξτε
- ανοικτού κώδικα
- Επιλογή
- Επιλογές
- επιχειρήσεις
- ΑΛΛΑ
- δική
- Κωδικοί πρόσβασης
- μονοπάτι
- People
- τέλειος
- δικαιώματα
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Πολιτικές
- πολιτική
- ενδεχομένως
- ισχυρός
- χυτρα
- μεταποίηση
- προγραμματικός
- Παρόχους υπηρεσιών
- δημόσιο
- Βάζοντας
- συνιστάται
- μείωση
- μακρινός
- αφαίρεση
- πόρος
- Υποστηρικτικό υλικό
- ΠΕΡΙΦΕΡΕΙΑ
- με αποτέλεσμα
- ανασκόπηση
- Κίνδυνος
- Ρόλος
- κανόνες
- προστατευμένο περιβάλλον
- ασφάλεια
- ευαίσθητος
- υπηρεσία
- πάροχοι υπηρεσιών
- Υπηρεσίες
- Σέτς
- τον καθορισμό
- ρυθμίσεις
- θα πρέπει να
- Απλούς
- So
- λύση
- μερικοί
- κάτι
- Πηγή
- Εκκίνηση
- Ξεκινήστε
- Κατάσταση
- υποβάλουν
- υποστήριξη
- Επιφάνεια
- περιβάλλων
- ευαίσθητος
- σύστημα
- Πάρτε
- παίρνει
- ομιλία
- Η
- πράγμα
- πράγματα
- Μέσω
- ώρα
- προς την
- μεταφορά
- αληθής
- υποκείμενες
- καταλαβαίνω
- κατανόηση
- us
- χρηστικότητα
- χρήση
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- πωλητές
- ζωτικής σημασίας
- Θέματα ευπάθειας
- ιστός
- διαδικτυακές υπηρεσίες
- Τι
- αν
- Ποιό
- ενώ
- θα
- εντός
- λόγια
- Εργασία
- Εσείς
- Σας
- zephyrnet