Kui kuulete pilve kontekstis sõna "vaikesätted", võivad meelde tulla mõned asjad: administraatori vaikeparoolid uue rakenduse seadistamisel, avalik AWS S3 ämber või kasutaja vaikejuurdepääs. Sageli peavad müüjad ja pakkujad klientide kasutatavust ja lihtsust turvalisusest olulisemaks, mille tulemuseks on vaikeseaded. Üks asi peab olema selge: see, et seade või juhtelement on vaikeseade, ei tähenda, et see on soovitatav või turvaline.
Allpool vaatame üle mõned näited vaikeväärtustest, mis võivad teie organisatsiooni ohtu seada.
Taevasina
Erinevalt Azure SQL-i hallatavatest eksemplaridest on Azure SQL-i andmebaasidel sisseehitatud tulemüür, mida saab konfigureerida võimaldama ühenduvust serveri või andmebaasi tasemel. See annab kasutajatele palju võimalusi, et tagada õigete asjade rääkimine.
Azure'i rakenduste jaoks Azure'i SQL-i andmebaasiga ühenduse loomiseks on serveris säte „Luba Azure'i teenused”, mis määrab IP-aadressi alguse ja lõpu väärtuseks 0.0.0.0. Nimega "AllowAllWindowsAzureIps" kõlab see kahjutult, kuid see suvand konfigureeris Azure SQL Database tulemüüri nii, et see ei luba mitte ainult kõiki ühendusi teie Azure'i konfiguratsioonist, vaid ka mistahes Azure'i konfiguratsioonid. Seda funktsiooni kasutades avate oma andmebaasi, et võimaldada ühendusi teistelt klientidelt, avaldades suuremat survet sisselogimistele ja identiteedihaldusele.
Üks asi, mida tasub tähele panna, on see, kas Azure SQL-i andmebaasis on lubatud avalikke IP-aadresse. See on ebatavaline ja kuigi saate kasutada vaikeseadet, ei tähenda see, et peaksite seda tegema. Sooviksite vähendada SQL-serveri rünnakupinda – üks viis seda teha on tulemüürireeglite määratlemine granuleeritud IP-aadressidega. Määratlege nii andmekeskustest kui ka muudest ressurssidest saadaolevate aadresside täpne loend.
Amazon Web Services (AWS)
EMR on Amazoni suurandmete lahendus. See pakub andmetöötlust, interaktiivset analüüsi ja masinõpet, kasutades avatud lähtekoodiga raamistikke. Veel üks ressursside läbirääkija (YARN) on Hadoopi raamistiku eeltingimus, mida EMR kasutab. Mure seisneb selles, et YARN EMR-i põhiserveris paljastab esindusliku oleku edastuse API, mis võimaldab kaugkasutajatel klastrisse uusi rakendusi esitada. AWS-i turvakontrollid pole siin vaikimisi lubatud.
See on vaikekonfiguratsioon, mida ei pruugita märgata, kuna see asub paaril erineval ristteel. Selle probleemi leiame oma poliitikaga, mis otsib Internetile avatud avatud porte, kuid kuna tegemist on platvormiga, võivad kliendid saada segadusse, et selle aluseks on EC2 infrastruktuur, mis muudab EMR-i toimima. Veelgi enam, kui nad lähevad konfiguratsiooni kontrollimaKui nad märkavad, et EMR-i konfiguratsioonis näevad nad, et seade „avaliku juurdepääsu blokeerimine” on lubatud, võib tekkida segadus. Isegi kui see vaikesäte on lubatud, paljastab EMR pordid 22 ja 8088, mida saab kasutada koodi kaugkäivitamiseks. Kui seda ei blokeeri teenuse juhtimise poliitika (SCP), juurdepääsukontrolli loend või hosti tulemüür (nt Linuxi IPTables), otsivad Internetis tuntud skannerid neid vaikeseadeid aktiivselt.
Google'i pilveplatvorm (GCP)
GCP kehastab ideed, et identiteet on pilve uus perimeeter. See kasutab võimsat ja üksikasjalikku lubade süsteemi. Üks levinud probleem, mis inimesi kõige enam mõjutab, puudutab aga teenusekontosid. See probleem esineb GCP CIS-i võrdlusnäitajates.
Kuna teenusekontosid kasutatakse andmiseks teenuseid GCP-s võime teha volitatud API-kõnesid, kasutatakse sageli loomise vaikeseadeid. Teenusekontod võimaldavad teistel kasutajatel või teistel teenusekontodel sellena esineda. Oluline on mõista sügavamat muret tekitavat konteksti, milleks võib olla täielik piiramatu juurdepääs teie keskkonnale, mis võib neid vaikeseadeid ümbritseda. Teisisõnu, pilves võib lihtsal valekonfiguratsioonil olla suurem plahvatuse raadius kui see, mis silma paistab. Pilveründetee võib alata valest konfiguratsioonist, kuid lõppeda teie tundlike andmetega õiguste suurendamise, külgsuunalise liikumise ja varjatud kehtivad load.
Kõigile kasutaja hallatavatele (kuid mitte kasutaja loodud) teenuse vaikekontodele on nende pakutavate GCP-teenuste toetamiseks määratud toimetaja roll. Parandus ei pruugi olla lihtsalt toimetaja rolli eemaldamine, kuna see võib teenuse funktsionaalsust rikkuda. Siin muutub oluliseks õiguste sügav mõistmine, kuna peate täpselt teadma, milliseid õigusi teenusekonto kasutab või mitte, ja aja jooksul. Kuna on oht, et programmiline identiteet on potentsiaalselt vastuvõtlikum väärkasutusele, muutub turvaplatvormi võimendamine vähemalt privileegide saamiseks ülioluliseks.
Kuigi need on vaid mõned näited suurtest pilvedest, loodan, et see inspireerib teid oma juhtelemente ja konfiguratsioone hoolikalt uurima. Pilveteenuse pakkujad pole täiuslikud. Nad on vastuvõtlikud inimlikele eksimustele, haavatavustele ja turvalünkadele, nagu me kõik. Ja kuigi pilveteenuste pakkujad pakuvad erakordselt turvalist taristut, on alati kõige parem pingutada ja mitte kunagi olla oma turvahügieeniga rahul. Sageli jätab vaikesäte pimedad nurgad ning tõelise turvalisuse saavutamine nõuab pingutust ja hooldust.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- võime
- juurdepääs
- konto
- Kontod
- saavutamisel
- aktiivselt
- aadressid
- admin
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- alati
- Amazon
- analytics
- ja
- Teine
- API
- taotlus
- rakendused
- apps
- määratud
- rünnak
- saadaval
- AWS
- Taevasina
- sest
- muutub
- on
- kriteeriumid
- BEST
- Blokeerima
- blokeeritud
- Murdma
- sisseehitatud
- kutsutud
- Kutsub
- Saab
- Centers
- kontrollima
- SRÜ
- selge
- lähedal
- Cloud
- Pilveplatvorm
- Cluster
- kood
- COM
- Tulema
- Murettekitav
- Murettekitav
- konfiguratsioon
- segaduses
- segadus
- Võta meiega ühendust
- Side
- Side
- Arvestama
- kontekst
- kontrollida
- kontrolli
- võiks
- Paar
- loomine
- Risttee
- klient
- Kliendid
- ohud
- andmed
- andmekeskuste
- andmetöötlus
- andmebaas
- andmebaasid
- sügav
- sügavam
- vaikimisi
- vaikimisi
- määratlemisel
- erinev
- teeme
- toimetaja
- jõupingutusi
- lubatud
- tagama
- keskkond
- viga
- Isegi
- täpselt
- näited
- täitmine
- lisatasu
- silm
- tunnusjoon
- vähe
- leidma
- tulemüüri
- Määrama
- Raamistik
- raamistikud
- sageli
- Alates
- täielikult
- funktsionaalsus
- saama
- annab
- Go
- suurem
- siin
- lootus
- aga
- HTTPS
- inim-
- idee
- Identity
- identiteedi haldamine
- oluline
- in
- Infrastruktuur
- interaktiivne
- Internet
- IP
- IP-aadressid
- probleem
- IT
- Teadma
- teatud
- õppimine
- Lahkuma
- Tase
- võimendav
- Linux
- nimekiri
- Vaata
- otsin
- Partii
- masin
- masinõpe
- põhiline
- hooldus
- peamine
- tegema
- Tegemine
- juhitud
- juhtimine
- vastab
- võib
- meeles
- rohkem
- kõige
- liikumine
- tingimata
- vajadustele
- Uus
- pakkuma
- Pakkumised
- ONE
- avatud
- avatud lähtekoodiga
- valik
- Valikud
- organisatsioon
- Muu
- enda
- paroolid
- tee
- Inimesed
- täiuslik
- Õigused
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Poliitika
- poliitika
- potentsiaalselt
- võimas
- surve
- töötlemine
- programmiline
- pakkujad
- avalik
- Putting
- soovitatav
- vähendama
- kauge
- eemaldamine
- ressurss
- Vahendid
- REST
- tulemuseks
- läbi
- Oht
- Roll
- eeskirjade
- kindlustama
- turvalisus
- tundlik
- teenus
- teenusepakkujad
- Teenused
- Komplektid
- kehtestamine
- seaded
- peaks
- lihtne
- So
- lahendus
- mõned
- midagi
- allikas
- algus
- Käivitus
- riik
- esitama
- toetama
- Pind
- ümbritsev
- vastuvõtlik
- süsteem
- Võtma
- võtab
- rääkimine
- .
- asi
- asjad
- Läbi
- aeg
- et
- üle
- tõsi
- aluseks
- mõistma
- mõistmine
- us
- kasutatavus
- kasutama
- Kasutaja
- Kasutajad
- kasutab ära
- müüjad
- tähtis
- Haavatavused
- web
- veebiteenused
- M
- kas
- mis
- kuigi
- will
- jooksul
- sõnad
- Töö
- sa
- Sinu
- sephyrnet