وقتی «تنظیمات پیشفرض» را در فضای ابری میشنوید، چند چیز ممکن است به ذهنتان خطور کند: رمزهای عبور پیشفرض مدیریت هنگام تنظیم یک برنامه جدید، یک سطل عمومی AWS S3 یا دسترسی پیشفرض کاربر. اغلب، فروشندگان و ارائه دهندگان، قابلیت استفاده مشتری و سهولت را مهمتر از امنیت می دانند و در نتیجه تنظیمات پیش فرض ایجاد می شود. یک چیز باید روشن باشد: فقط به این دلیل که یک تنظیم یا کنترل پیشفرض است به این معنی نیست که توصیه یا ایمن است.
در زیر، چند نمونه از پیشفرضهایی را که میتوانند سازمان شما را در معرض خطر قرار دهند، مرور میکنیم.
لاجوردی
پایگاههای داده Azure SQL، بر خلاف نمونههای مدیریتشده Azure SQL، دارای یک فایروال داخلی هستند که میتواند به گونهای پیکربندی شود که امکان اتصال در سطح سرور یا پایگاه داده را فراهم کند. این به کاربران گزینههای زیادی را میدهد تا مطمئن شوند که چیزهای درست صحبت میکنند.
برای برنامه های کاربردی داخل Azure برای اتصال به پایگاه داده Azure SQL، یک تنظیم "Allow Azure Services" در سرور وجود دارد که آدرس های IP شروع و پایان را روی 0.0.0.0 تنظیم می کند. این گزینه که "AllowAllWindowsAzureIps" نامیده می شود، بی ضرر به نظر می رسد، اما این گزینه فایروال پایگاه داده Azure SQL را طوری پیکربندی کرد که نه تنها به همه اتصالات از پیکربندی Azure شما اجازه دهد، بلکه از هر تنظیمات لاجوردی با استفاده از این ویژگی، پایگاه داده خود را باز می کنید تا امکان اتصال از سایر مشتریان را فراهم کنید و فشار بیشتری بر ورود و مدیریت هویت وارد کنید.
نکته ای که باید به آن توجه داشت این است که آیا هیچ آدرس IP عمومی مجاز به پایگاه داده Azure SQL وجود دارد یا خیر. انجام این کار غیرعادی است و در حالی که می توانید از پیش فرض استفاده کنید، به این معنی نیست که باید این کار را انجام دهید. شما می خواهید سطح حمله را برای یک سرور SQL کاهش دهید – یکی از راه های انجام این کار، تعریف قوانین فایروال با آدرس های IP دانه ای است. لیست دقیق آدرس های موجود را از مراکز داده و سایر منابع تعریف کنید.
خدمات وب آمازون (AWS)
EMR یک راه حل کلان داده از آمازون است. پردازش داده، تجزیه و تحلیل تعاملی و یادگیری ماشینی را با استفاده از چارچوب های منبع باز ارائه می دهد. Yet Another Resource Negotiator (YARN) یک پیش نیاز برای چارچوب Hadoop است که EMR از آن استفاده می کند. نگرانی این است که YARN در سرور اصلی EMR یک API انتقال حالت نمایشی را نشان میدهد و به کاربران راه دور اجازه میدهد تا برنامههای جدید را به خوشه ارسال کنند. کنترل های امنیتی در AWS به طور پیش فرض در اینجا فعال نیستند.
این یک پیکربندی پیشفرض است که ممکن است مورد توجه قرار نگیرد زیرا در چند چهارراه مختلف قرار دارد. این موضوع چیزی است که ما در سیاستهای خودمان به دنبال پورتهای باز باز برای اینترنت مییابیم، اما از آنجایی که این یک پلتفرم است، مشتریان ممکن است گیج شوند که زیرساخت EC2 زیربنایی وجود دارد که EMR را کار میکند. علاوه بر این، هنگامی که آنها به بررسی تنظیمات می روندزمانی که متوجه می شوند در پیکربندی EMR، می بینند که تنظیم "مسدود کردن دسترسی عمومی" فعال است، سردرگمی ممکن است رخ دهد. حتی با فعال بودن این تنظیمات پیشفرض، EMR پورت 22 و 8088 را در معرض دید قرار میدهد که میتواند برای اجرای کد از راه دور استفاده شود. اگر این مورد توسط یک خط مشی کنترل سرویس (SCP)، لیست کنترل دسترسی یا فایروال روی میزبان (مثلاً IPTables لینوکس) مسدود نشده باشد، اسکنرهای شناخته شده در اینترنت به طور فعال به دنبال این پیش فرض ها هستند.
Google Cloud Platform (GCP)
GCP مظهر ایده هویت بودن محیط جدید ابر است. از یک سیستم مجوز قدرتمند و گرانول استفاده می کند. با این حال، یکی از مسائل فراگیر که مردم را بیشتر تحت تاثیر قرار می دهد، مربوط به حساب های خدماتی است. این موضوع در معیارهای CIS برای GCP قرار دارد.
زیرا از حساب های خدماتی برای دادن استفاده می شود خدمات در GCP توانایی برقراری تماسهای مجاز API، پیشفرضهای ایجاد شده اغلب مورد سوء استفاده قرار میگیرند. حسابهای خدماتی به سایر کاربران یا سایر حسابهای سرویس اجازه میدهند که جعل هویت آن را جعل کنند. درک زمینه عمیقتر نگرانی، که میتواند دسترسی کاملاً بدون محدودیت در محیط شما باشد، که میتواند این تنظیمات پیشفرض را احاطه کند، مهم است.. به عبارت دیگر، در ابر، یک پیکربندی نادرست ساده میتواند شعاع انفجار بیشتری نسبت به آنچه به چشم میخورد داشته باشد. یک مسیر حمله ابری میتواند با پیکربندی نادرست شروع شود، اما به دادههای حساس شما از طریق افزایش امتیازات، حرکت جانبی و پنهان ختم میشود. مجوزهای موثر.
همه حسابهای سرویس پیشفرض مدیریت شده توسط کاربر (اما نه ایجاد شده توسط کاربر) نقش ویرایشگر را دارند تا از خدماتی که در GCP ارائه میکنند پشتیبانی کنند. این اصلاح لزوما حذف ساده نقش ویرایشگر نیست، زیرا انجام این کار ممکن است عملکرد سرویس را مختل کند. اینجاست که درک عمیق مجوزها اهمیت می یابد زیرا باید دقیقاً بدانید که حساب سرویس از کدام مجوزها استفاده می کند یا استفاده نمی کند و در طول زمان. با توجه به این خطر که هویت برنامهای به طور بالقوه بیشتر مستعد سوء استفاده باشد، استفاده از یک پلت فرم امنیتی برای دریافت حداقل امتیاز حیاتی میشود.
در حالی که اینها فقط چند نمونه در ابرهای اصلی هستند، امیدوارم این الهام بخش شما باشد تا به کنترل ها و تنظیمات خود نگاهی دقیق بیندازید. ارائه دهندگان ابری کامل نیستند. آنها نیز مانند بقیه ما مستعد خطاهای انسانی، آسیب پذیری ها و شکاف های امنیتی هستند. و در حالی که ارائهدهندگان خدمات ابری زیرساختهای فوقالعاده ایمن را ارائه میدهند، بهترین کار این است که مایل بیشتری را طی کنید و هرگز در بهداشت امنیتی خود راضی نباشید. اغلب، یک تنظیم پیشفرض نقاط کور باقی میگذارد و دستیابی به امنیت واقعی نیازمند تلاش و نگهداری است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- توانایی
- دسترسی
- حساب
- حساب ها
- دستیابی به
- فعالانه
- آدرس
- مدیر سایت
- معرفی
- اجازه دادن
- همیشه
- آمازون
- علم تجزیه و تحلیل
- و
- دیگر
- API
- کاربرد
- برنامه های کاربردی
- برنامه های
- اختصاص داده
- حمله
- در دسترس
- AWS
- لاجوردی
- زیرا
- شود
- بودن
- معیار
- بهترین
- مسدود کردن
- مسدود شده
- شکستن
- ساخته شده در
- نام
- تماس ها
- می توانید دریافت کنید
- مراکز
- بررسی
- CIS
- واضح
- نزدیک
- ابر
- بستر ابری
- خوشه
- رمز
- COM
- بیا
- نگرانی
- نگرانی ها
- پیکر بندی
- اشتباه
- گیجی
- اتصال
- اتصالات
- اتصال
- در نظر بگیرید
- زمینه
- کنترل
- گروه شاهد
- میتوانست
- زن و شوهر
- ایجاد
- چهارراه
- مشتری
- مشتریان
- خطرات
- داده ها
- مرکز دادهها
- پردازش داده ها
- پایگاه داده
- پایگاه های داده
- عمیق
- عمیق تر
- به طور پیش فرض
- پیش فرض
- تعریف کردن
- مختلف
- عمل
- سردبیر
- تلاش
- فعال
- اطمینان حاصل شود
- محیط
- خطا
- حتی
- کاملا
- مثال ها
- اعدام
- اضافی
- چشم
- ویژگی
- کمی از
- پیدا کردن
- فایروال
- رفع
- چارچوب
- چارچوب
- غالبا
- از جانب
- کاملا
- قابلیت
- دریافت کنید
- می دهد
- Go
- گوگل
- بیشتر
- اینجا کلیک نمایید
- امید
- اما
- HTTPS
- انسان
- اندیشه
- هویت
- مدیریت هویت
- مهم
- in
- شالوده
- تعاملی
- اینترنت
- IP
- آدرس های IP
- موضوع
- IT
- دانستن
- شناخته شده
- یادگیری
- ترک کردن
- سطح
- بهره برداری
- لینوکس
- فهرست
- نگاه کنيد
- به دنبال
- خیلی
- دستگاه
- فراگیری ماشین
- اصلی
- نگهداری
- عمده
- ساخت
- ساخت
- اداره می شود
- مدیریت
- ملاقات
- قدرت
- ذهن
- بیش
- اکثر
- جنبش
- لزوما
- نیازهای
- جدید
- ارائه
- پیشنهادات
- ONE
- باز کن
- منبع باز
- گزینه
- گزینه
- کدام سازمان ها
- دیگر
- خود
- کلمه عبور
- مسیر
- مردم
- کامل
- مجوز
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- سیاست
- بالقوه
- قوی
- فشار
- در حال پردازش
- برنامه ریزی شده
- ارائه دهندگان
- عمومی
- قرار دادن
- توصیه می شود
- كاهش دادن
- دور
- برداشت
- منابع
- منابع
- REST
- نتیجه
- این فایل نقد می نویسید:
- خطر
- نقش
- قوانین
- امن
- تیم امنیت لاتاری
- حساس
- سرویس
- ارائه دهندگان خدمات
- خدمات
- مجموعه
- محیط
- تنظیمات
- باید
- ساده
- So
- راه حل
- برخی از
- چیزی
- منبع
- شروع
- راه افتادن
- دولت
- ارسال
- پشتیبانی
- سطح
- اطراف
- مناسب
- سیستم
- گرفتن
- طول می کشد
- سخنگو
- La
- چیز
- اشیاء
- از طریق
- زمان
- به
- انتقال
- درست
- اساسی
- فهمیدن
- درک
- us
- قابلیت استفاده
- استفاده کنید
- کاربر
- کاربران
- استفاده می کند
- فروشندگان
- حیاتی
- آسیب پذیری ها
- وب
- خدمات وب
- چی
- چه
- که
- در حین
- اراده
- در داخل
- کلمات
- مهاجرت کاری
- شما
- شما
- زفیرنت