Cuando escucha "configuración predeterminada" en el contexto de la nube, se le pueden ocurrir algunas cosas: contraseñas de administrador predeterminadas al configurar una nueva aplicación, un depósito público de AWS S3 o acceso de usuario predeterminado. A menudo, los vendedores y los proveedores consideran que la usabilidad del cliente y la facilidad son más importantes que la seguridad, lo que da como resultado configuraciones predeterminadas. Una cosa debe quedar clara: el hecho de que una configuración o control sea predeterminado no significa que sea recomendado o seguro.
A continuación, revisaremos algunos ejemplos de valores predeterminados que pueden poner en riesgo a su organización.
Azure
Las bases de datos de Azure SQL, a diferencia de las instancias administradas de Azure SQL, tienen un firewall integrado que se puede configurar para permitir la conectividad en el nivel del servidor o de la base de datos. Esto brinda a los usuarios muchas opciones para garantizar que se hablen las cosas correctas.
Para que las aplicaciones dentro de Azure se conecten a una base de datos SQL de Azure, hay una configuración "Permitir servicios de Azure" en el servidor que establece las direcciones IP de inicio y finalización en 0.0.0.0. Llamada "AllowAllWindowsAzureIps", suena inofensiva, pero esta opción configuró el firewall de Azure SQL Database para no solo permitir todas las conexiones desde su configuración de Azure, sino también desde cualquier Configuraciones de Azure. Al utilizar esta función, abre su base de datos para permitir conexiones de otros clientes, ejerciendo más presión sobre los inicios de sesión y la gestión de identidades.
Una cosa a tener en cuenta es si hay direcciones IP públicas permitidas en Azure SQL Database. Es inusual hacerlo y, si bien puede usar el valor predeterminado, no significa que deba hacerlo. Querrá reducir la superficie de ataque para un servidor SQL; una forma de hacerlo es definiendo reglas de firewall con direcciones IP granulares. Defina la lista exacta de direcciones disponibles de ambos centros de datos y otros recursos.
Servicios Web de Amazon (AWS)
EMR es una solución de big data de Amazon. Ofrece procesamiento de datos, análisis interactivo y aprendizaje automático utilizando marcos de código abierto. Yet Another Resource Negotiator (YARN) es un requisito previo para el marco Hadoop, que utiliza EMR. La preocupación es que YARN en el servidor principal de EMR expone una API de transferencia de estado representacional, lo que permite a los usuarios remotos enviar nuevas aplicaciones al clúster. Los controles de seguridad en AWS no están habilitados de forma predeterminada aquí.
Esta es una configuración predeterminada que puede no notarse porque se encuentra en un par de encrucijadas diferentes. Este problema es algo que encontramos con nuestras propias políticas que buscan puertos abiertos abiertos a Internet, pero debido a que es una plataforma, los clientes pueden confundirse con la idea de que existe una infraestructura EC2 subyacente que hace que EMR funcione. Además, cuando van a comprobar la configuraciónuración, la confusión puede ocurrir cuando notan que en la configuración de EMR, ven que la configuración "bloquear el acceso público" está habilitada. Incluso con esta configuración predeterminada habilitada, EMR expone los puertos 22 y 8088, que se pueden usar para la ejecución remota de código. Si esto no está bloqueado por una política de control de servicios (SCP), una lista de control de acceso o un firewall en el host (por ejemplo, IPTables de Linux), los escáneres conocidos en Internet están buscando activamente estos valores predeterminados.
Google Cloud Platform (GCP)
GCP encarna la idea de que la identidad es el nuevo perímetro de la nube. Utiliza un sistema de permisos potente y granular. Sin embargo, el problema generalizado que más afecta a las personas se refiere a las cuentas de servicio. Este problema reside en los puntos de referencia de CIS para GCP.
Debido a que las cuentas de servicio se utilizan para dar servicios en GCP la capacidad de realizar llamadas API autorizadas, los valores predeterminados en la creación con frecuencia se usan incorrectamente. Las Cuentas de servicio permiten que otros Usuarios u otras Cuentas de servicio se hagan pasar por ella. Es importante comprender el contexto más profundo de preocupación, que podría ser un acceso totalmente ilimitado en su entorno, que podría estar relacionado con esta configuración predeterminada.. En otras palabras, en la nube, una simple configuración incorrecta puede tener un radio de explosión mayor de lo que parece. Una ruta de ataque a la nube puede comenzar con una configuración incorrecta, pero terminar con sus datos confidenciales a través de escaladas de privilegios, movimientos laterales y ataques encubiertos. permisos efectivos.
Todas las cuentas de servicio predeterminadas administradas por el usuario (pero no creadas por el usuario) tienen asignada la función de editor para admitir los servicios en GCP que ofrecen. La solución no es necesariamente una simple eliminación de la función Editor, ya que hacerlo podría interrumpir la funcionalidad del servicio. Aquí es donde una comprensión profunda de los permisos se vuelve importante porque debe saber exactamente qué permisos usa o no usa la cuenta de servicio, y con el tiempo. Debido al riesgo de que una identidad programática sea potencialmente más susceptible de uso indebido, se vuelve vital aprovechar una plataforma de seguridad para obtener al menos privilegios.
Si bien estos son solo algunos ejemplos dentro de las principales nubes, espero que esto lo inspire a observar de cerca sus controles y configuraciones. Los proveedores de la nube no son perfectos. Son susceptibles a errores humanos, vulnerabilidades y brechas de seguridad, al igual que el resto de nosotros. Y aunque los proveedores de servicios en la nube ofrecen una infraestructura excepcionalmente segura, siempre es mejor hacer un esfuerzo adicional y nunca ser complaciente con su higiene de seguridad. A menudo, una configuración predeterminada deja puntos ciegos y lograr una verdadera seguridad requiere esfuerzo y mantenimiento.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- capacidad
- de la máquina
- Mi Cuenta
- Cuentas
- el logro de
- activamente
- direcciones
- Admin
- Todos
- Permitir
- hacerlo
- Amazon
- Analytics
- y
- Otra
- abejas
- Aplicación
- aplicaciones
- aplicaciones
- asigna
- atacar
- Hoy Disponibles
- AWS
- Azure
- porque
- se convierte en
- "Ser"
- los puntos de referencia
- MEJOR
- Bloquear
- bloqueado
- Descanso
- incorporado
- , que son
- Calls
- Puede conseguir
- Centros
- comprobar
- CIS
- limpiar
- Cerrar
- Soluciones
- Plataforma en la nube
- Médico
- código
- COM
- cómo
- Protocolo de Tratamiento
- Inquietudes
- Configuración
- confundido
- confusión
- Contacto
- Conexiones
- Conectividad
- Considerar
- contexto
- control
- controles
- podría
- Parejas
- creación
- Encrucijada
- cliente
- Clientes
- peligros
- datos
- los centros de datos
- proceso de datos
- Base de datos
- bases de datos
- profundo
- más profundo
- Predeterminado
- por defecto
- definir
- una experiencia diferente
- "Hacer"
- editor
- esfuerzo
- facilita
- garantizar
- Entorno
- error
- Incluso
- exactamente
- ejemplos
- ejecución
- extra
- ojos
- Feature
- pocos
- Encuentre
- cortafuegos
- Fijar
- Marco conceptual
- marcos
- frecuentemente
- en
- completamente
- a la fatiga
- obtener
- da
- Go
- mayor
- esta página
- esperanza
- Sin embargo
- HTTPS
- humana
- idea
- Identidad
- de gestión de identidades
- importante
- in
- EN LA MINA
- interactivo
- Internet
- IP
- Direcciones IP
- IT
- Saber
- conocido
- aprendizaje
- Abandonar
- Nivel
- aprovechando
- Linux
- Lista
- Mira
- mirando
- Lote
- máquina
- máquina de aprendizaje
- Inicio
- un mejor mantenimiento.
- gran
- para lograr
- Realizar
- gestionado
- Management
- se une a la
- podría
- mente
- más,
- MEJOR DE TU
- movimiento
- necesariamente
- Nuevo
- LANZAMIENTO
- Ofertas
- ONE
- habiertos
- de código abierto
- Optión
- Opciones
- organización
- Otro
- EL DESARROLLADOR
- contraseñas
- camino
- Personas
- perfecto
- permisos
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- políticas
- política
- la posibilidad
- poderoso
- presión
- tratamiento
- programático
- los proveedores
- público
- Poniendo
- recomendado
- reducir
- sanaciones
- eliminación
- Recurso
- Recursos
- RESTO
- resultante
- una estrategia SEO para aparecer en las búsquedas de Google.
- Riesgo
- Función
- reglas
- seguro
- EN LINEA
- sensible
- de coches
- proveedores de servicios
- Servicios
- Sets
- pólipo
- ajustes
- tienes
- sencillos
- So
- a medida
- algo
- algo
- Fuente
- comienzo
- Comience a
- Estado
- enviar
- SOPORTE
- Superficie
- Rodeando
- susceptible
- te
- ¡Prepárate!
- toma
- hablar
- El
- cosa
- cosas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- transferir
- verdadero
- subyacente
- entender
- comprensión
- us
- usabilidad
- utilizan el
- Usuario
- usuarios
- utiliza
- vendedores
- vital
- Vulnerabilidades
- web
- servicios web
- ¿
- sean
- que
- mientras
- seguirá
- dentro de
- palabras
- Actividades:
- Usted
- tú
- zephyrnet