Kun kuulet "oletusasetukset" pilven kontekstissa, muutama asia voi tulla mieleen: järjestelmänvalvojan oletussalasanat uutta sovellusta määritettäessä, julkinen AWS S3 -säilö tai oletuskäyttöoikeus. Usein myyjät ja palveluntarjoajat pitävät asiakkaiden käytettävyyttä ja helppoutta tärkeämpänä kuin turvallisuutta, mikä johtaa oletusasetuksiin. Yksi asia on oltava selvä: vain siksi, että asetus tai säädin on oletusarvoinen, ei tarkoita, että se olisi suositeltu tai turvallinen.
Alla tarkastellaan esimerkkejä oletusarvoista, jotka voivat vaarantaa organisaatiosi.
Taivaansininen
Azure SQL Databasesissa, toisin kuin Azure SQL Managed Instances, on sisäänrakennettu palomuuri, joka voidaan määrittää sallimaan yhteyden muodostaminen palvelin- tai tietokantatasolla. Tämä antaa käyttäjille paljon vaihtoehtoja varmistaakseen, että oikeat asiat puhuvat.
Jotta Azure-sovellukset voivat muodostaa yhteyden Azure SQL -tietokantaan, palvelimella on Salli Azure-palvelut -asetus, joka määrittää aloitus- ja loppu IP-osoitteeksi 0.0.0.0. Se, jota kutsutaan nimellä "AllowAllWindowsAzureIps", kuulostaa vaarattomalta, mutta tämä vaihtoehto määritti Azure SQL Database -palomuurin sallimaan kaikki yhteydet Azure-kokoonpanostasi. Kaikki Azure-kokoonpanot. Käyttämällä tätä ominaisuutta voit avata tietokantasi salliaksesi yhteydet muilta asiakkailta, mikä lisää paineita kirjautumisille ja identiteetin hallintaan.
Yksi huomioitava asia on, onko Azure SQL Database -tietokannassa sallittuja julkisia IP-osoitteita. On epätavallista tehdä niin, ja vaikka voit käyttää oletusarvoa, se ei tarkoita, että sinun pitäisi. Haluat vähentää SQL-palvelimen hyökkäyspintaa – yksi tapa tehdä tämä on määrittää palomuurisäännöt rakeisilla IP-osoitteilla. Määritä tarkka luettelo käytettävissä olevista osoitteista sekä palvelinkeskuksista että muista resursseista.
Amazon Web Services (AWS)
EMR on Amazonin suuri dataratkaisu. Se tarjoaa tietojenkäsittelyä, interaktiivista analytiikkaa ja koneoppimista avoimen lähdekoodin kehyksiä käyttäen. YARN (Yet Another Resource Negotiator) on edellytys Hadoop-kehykselle, jota EMR käyttää. Huolenaiheena on, että YARN EMR:n pääpalvelimella paljastaa edustavan tilansiirron API:n, jonka avulla etäkäyttäjät voivat lähettää uusia sovelluksia klusteriin. AWS:n suojaustoiminnot eivät ole oletusarvoisesti käytössä täällä.
Tämä on oletuskokoonpano, jota ei ehkä huomaa, koska se sijaitsee parissa eri risteyksessä. Tämän ongelman löydämme omilla käytännöillämme, jotka etsivät avoimia Internet-portteja, mutta koska kyseessä on alusta, asiakkaat voivat hämmentyä siitä, että taustalla on EC2-infrastruktuuri, joka saa EMR:n toimimaan. Lisäksi kun he menevät tarkistamaan asetuksiaSekaannusta voi ilmetä, kun he huomaavat, että EMR-määrityksessä he näkevät "estä julkinen pääsy" -asetuksen olevan käytössä. Vaikka tämä oletusasetus olisi käytössä, EMR paljastaa portit 22 ja 8088, joita voidaan käyttää koodin etäsuorittamiseen. Jos tätä ei estä palvelunvalvontakäytäntö (SCP), pääsynhallintaluettelo tai isäntäpalomuuri (esim. Linux IPTables), tunnetut Internetin skannerit etsivät aktiivisesti näitä oletusasetuksia.
Google Cloud Platform (GCP)
GCP ilmentää ajatusta siitä, että identiteetti on pilven uusi kehä. Se käyttää tehokasta ja yksityiskohtaista käyttöoikeusjärjestelmää. Kuitenkin yksi laajalle levinnyt ongelma, joka koskettaa ihmisiä eniten, koskee palvelutilejä. Tämä ongelma löytyy CIS-vertailuarvoista GCP:lle.
Koska palvelutilejä käytetään antamaan palvelut GCP:ssä kyky tehdä valtuutettuja API-kutsuja, luomisen oletusasetuksia käytetään usein väärin. Palvelutilit sallivat muiden käyttäjien tai muiden palvelutilien esiintyä sellaisina. On tärkeää ymmärtää syvällisempi huolenaihe, joka voi olla täysin esteetön pääsy ympäristössäsi, joka voi ympäröida näitä oletusasetuksia. Toisin sanoen pilvessä yksinkertaisella virheellisellä kokoonpanolla voi olla suurempi räjähdyssäde kuin näkee. Pilvihyökkäyspolku voi alkaa virheellisestä määrityksestä, mutta päättyy arkaluontoisiin tietoihisi oikeuksien lisääntymisen, sivuttaisliikkeen ja piilotettujen voimassa olevat luvat.
Kaikille käyttäjien hallinnoimille (mutta ei käyttäjän luomille) oletuspalvelutileille on määritetty muokkausrooli niiden tarjoamien GCP-palvelujen tukemiseksi. Korjaus ei välttämättä ole yksinkertaista Editor-roolin poistamista, koska se voi rikkoa palvelun toiminnan. Tässä yhteydessä lupien syvällinen ymmärtäminen tulee tärkeäksi, koska sinun on tiedettävä tarkalleen, mitä oikeuksia palvelutili käyttää tai ei käytä, ja ajan myötä. Koska ohjelmallinen identiteetti on mahdollisesti alttiimpi väärinkäytölle, tietoturva-alustan hyödyntäminen ainakin etuoikeuksien saamiseksi on elintärkeää.
Vaikka nämä ovat vain muutamia esimerkkejä suurimmista pilvistä, toivon, että tämä inspiroi sinua tarkastelemaan säätimiäsi ja asetuksiasi tarkasti. Pilvipalveluntarjoajat eivät ole täydellisiä. He ovat alttiita inhimillisille virheille, haavoittuvuuksille ja tietoturva-aukoille, kuten me muutkin. Ja vaikka pilvipalveluntarjoajat tarjoavat poikkeuksellisen turvallisen infrastruktuurin, on aina parasta tehdä ylimääräinen kilometri ja olla koskaan omahyväinen turvallisuushygieniassasi. Usein oletusasetus jättää kuolleet kulmat, ja todellisen turvallisuuden saavuttaminen vaatii vaivaa ja ylläpitoa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- kyky
- pääsy
- Tili
- Tilit
- saavuttamisessa
- aktiivisesti
- osoitteet
- admin
- Kaikki
- Salliminen
- aina
- Amazon
- Analytics
- ja
- Toinen
- api
- Hakemus
- sovellukset
- sovellukset
- osoitettu
- hyökkäys
- saatavissa
- AWS
- Taivaansininen
- koska
- tulee
- ovat
- Viitearvot
- PARAS
- Tukkia
- tukossa
- Tauko
- sisäänrakennettu
- nimeltään
- Puhelut
- Voi saada
- keskuksissa
- tarkastaa
- IVY
- selkeä
- lähellä
- pilvi
- Pilvialusta
- Cluster
- koodi
- KOM
- Tulla
- Koskea
- huolenaiheet
- Konfigurointi
- sekava
- sekaannus
- kytkeä
- Liitännät
- Liitännät
- Harkita
- tausta
- ohjaus
- valvonta
- voisi
- Pari
- luominen
- Risteys
- asiakas
- Asiakkaat
- vaaroista
- tiedot
- datakeskukset
- tietojenkäsittely
- tietokanta
- tietokannat
- syvä
- syvempää
- oletusarvo
- oletusarvot
- määrittelemällä
- eri
- tekee
- toimittaja
- vaivaa
- käytössä
- varmistaa
- ympäristö
- virhe
- Jopa
- täsmälleen
- Esimerkit
- teloitus
- lisää
- silmä
- Ominaisuus
- harvat
- Löytää
- palomuuri
- Korjata
- Puitteet
- puitteet
- usein
- alkaen
- täysin
- toiminnallisuus
- saada
- antaa
- Go
- suurempi
- tätä
- toivoa
- Kuitenkin
- HTTPS
- ihmisen
- ajatus
- Identiteetti
- henkilöllisyyden hallinta
- tärkeä
- in
- Infrastruktuuri
- vuorovaikutteinen
- Internet
- IP
- IP-osoitteita
- kysymys
- IT
- Tietää
- tunnettu
- oppiminen
- jättää
- Taso
- vipuvaikutuksen
- linux
- Lista
- katso
- näköinen
- Erä
- kone
- koneoppiminen
- tärkein
- huolto
- merkittävä
- tehdä
- Tekeminen
- onnistui
- johto
- Meets
- ehkä
- mielessä
- lisää
- eniten
- liike
- välttämättä
- tarpeet
- Uusi
- kampanja
- Tarjoukset
- ONE
- avata
- avoimen lähdekoodin
- Vaihtoehto
- Vaihtoehdot
- organisaatio
- Muut
- oma
- salasanat
- polku
- Ihmiset
- täydellinen
- Oikeudet
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- politiikkaa
- politiikka
- mahdollisesti
- voimakas
- paine
- käsittely
- ohjelmallinen
- tarjoajat
- julkinen
- Putting
- suositeltu
- vähentää
- kaukosäädin
- poistaminen
- resurssi
- Esittelymateriaalit
- REST
- Saatu ja
- arviot
- Riski
- Rooli
- säännöt
- turvallinen
- turvallisuus
- sensible
- palvelu
- palveluntarjoajat
- Palvelut
- Setit
- asetus
- settings
- shouldnt
- Yksinkertainen
- So
- ratkaisu
- jonkin verran
- jotain
- lähde
- Alkaa
- Aloita
- Osavaltio
- antaa
- tuki
- pinta
- ympäröivä
- herkkä
- järjestelmä
- ottaa
- vie
- puhuminen
- -
- asia
- asiat
- Kautta
- aika
- että
- siirtää
- totta
- taustalla oleva
- ymmärtää
- ymmärtäminen
- us
- käytettävyys
- käyttää
- käyttäjä
- Käyttäjät
- hyödyntää
- myyjät
- elintärkeä
- haavoittuvuuksia
- verkko
- verkkopalvelut
- Mitä
- onko
- joka
- vaikka
- tulee
- sisällä
- sanoja
- Referenssit
- Voit
- Sinun
- zephyrnet