Lorsque vous entendez « paramètres par défaut » dans le contexte du cloud, certaines choses peuvent vous venir à l'esprit : les mots de passe administrateur par défaut lors de la configuration d'une nouvelle application, un compartiment AWS S3 public ou un accès utilisateur par défaut. Souvent, les vendeurs et les fournisseurs considèrent la facilité d'utilisation et la facilité d'utilisation du client plus importantes que la sécurité, ce qui entraîne des paramètres par défaut. Une chose doit être claire : ce n'est pas parce qu'un paramètre ou un contrôle est par défaut qu'il est recommandé ou sécurisé.
Ci-dessous, nous passerons en revue quelques exemples de valeurs par défaut qui peuvent exposer votre organisation à des risques.
Azure
Les bases de données Azure SQL, contrairement aux instances gérées Azure SQL, disposent d'un pare-feu intégré qui peut être configuré pour permettre la connectivité au niveau du serveur ou de la base de données. Cela donne aux utilisateurs de nombreuses options pour s'assurer que les bonnes choses parlent.
Pour que les applications dans Azure se connectent à une base de données Azure SQL, il existe un paramètre « Autoriser les services Azure » sur le serveur qui définit les adresses IP de début et de fin sur 0.0.0.0. Appelée « AllowAllWindowsAzureIps », cela semble inoffensif, mais cette option a configuré le pare-feu Azure SQL Database pour non seulement autoriser toutes les connexions à partir de votre configuration Azure, mais aussi à partir de tous Configurations Azure. En utilisant cette fonctionnalité, vous ouvrez votre base de données pour autoriser les connexions d'autres clients, ce qui met plus de pression sur les connexions et la gestion des identités.
Une chose à noter est de savoir s'il existe des adresses IP publiques autorisées pour Azure SQL Database. Il est inhabituel de le faire et, même si vous pouvez utiliser la valeur par défaut, cela ne signifie pas que vous devriez le faire. Vous souhaiterez réduire la surface d'attaque d'un serveur SQL. Une façon d'y parvenir consiste à définir des règles de pare-feu avec des adresses IP granulaires. Définissez la liste exacte des adresses disponibles à partir des centres de données et d'autres ressources.
Amazon Web Services (AWS)
EMR est une solution de big data d'Amazon. Il offre le traitement de données, l'analyse interactive et l'apprentissage automatique à l'aide de cadres open source. Yet Another Resource Negotiator (YARN) est un prérequis pour le framework Hadoop, utilisé par EMR. Le problème est que YARN sur le serveur principal d'EMR expose une API de transfert d'état représentatif, permettant aux utilisateurs distants de soumettre de nouvelles applications au cluster. Les contrôles de sécurité dans AWS ne sont pas activés par défaut ici.
Il s'agit d'une configuration par défaut qui peut ne pas être remarquée car elle se situe à deux carrefours différents. Ce problème est quelque chose que nous trouvons avec nos propres politiques à la recherche de ports ouverts ouverts sur Internet, mais comme il s'agit d'une plate-forme, les clients peuvent être confus quant à l'existence d'une infrastructure EC2 sous-jacente faisant fonctionner EMR. De plus, quand ils vont vérifier la configuration, la confusion peut survenir lorsqu'ils remarquent que dans la configuration pour EMR, ils voient que le paramètre "bloquer l'accès public" est activé. Même avec ce paramètre par défaut activé, EMR expose les ports 22 et 8088, qui peuvent être utilisés pour l'exécution de code à distance. Si cela n'est pas bloqué par une politique de contrôle de service (SCP), une liste de contrôle d'accès ou un pare-feu sur l'hôte (par exemple, Linux IPTables), les scanners connus sur Internet recherchent activement ces valeurs par défaut.
Google Cloud Platform (GCP)
GCP incarne l'idée que l'identité est le nouveau périmètre du cloud. Il utilise un système d'autorisations puissant et granulaire. Cependant, le problème omniprésent qui affecte le plus les gens concerne les comptes de service. Ce problème réside dans les Benchmarks CIS pour GCP.
Parce que les comptes de service sont utilisés pour donner services dans GCP la possibilité de faire des appels d'API autorisés, les valeurs par défaut dans la création sont souvent mal utilisées. Les Comptes de service permettent à d'autres Utilisateurs ou à d'autres Comptes de service de se faire passer pour lui. Il est important de comprendre le contexte de préoccupation plus profond, qui pourrait être un accès totalement illimité à votre environnement, qui pourrait entourer ces paramètres par défaut.. En d'autres termes, dans le cloud, une simple mauvaise configuration peut avoir un rayon de souffle plus grand que ce qui saute aux yeux. Un chemin d'attaque cloud peut commencer par une mauvaise configuration, mais se terminer par vos données sensibles via des escalades de privilèges, des mouvements latéraux et des attaques secrètes. autorisations effectives.
Tous les comptes de service par défaut gérés par l'utilisateur (mais pas créés par l'utilisateur) se voient attribuer le rôle d'éditeur pour prendre en charge les services qu'ils proposent dans GCP. Le correctif n'est pas nécessairement une simple suppression du rôle d'éditeur, car cela pourrait interrompre la fonctionnalité du service. C'est là qu'une compréhension approfondie des autorisations devient importante, car vous devez savoir exactement quelles autorisations le compte de service utilise ou n'utilise pas, et au fil du temps. En raison du risque qu'une identité programmatique soit potentiellement plus susceptible d'être utilisée à mauvais escient, tirer parti d'une plate-forme de sécurité pour obtenir au moins des privilèges devient vital.
Bien qu'il ne s'agisse que de quelques exemples parmi les principaux clouds, j'espère que cela vous incitera à examiner de près vos commandes et configurations. Les fournisseurs de cloud ne sont pas parfaits. Ils sont sensibles aux erreurs humaines, aux vulnérabilités et aux failles de sécurité, tout comme le reste d'entre nous. Et bien que les fournisseurs de services cloud offrent une infrastructure exceptionnellement sécurisée, il est toujours préférable d'aller plus loin et de ne jamais être complaisant dans votre hygiène de sécurité. Souvent, un paramètre par défaut laisse des angles morts et la réalisation d'une véritable sécurité demande des efforts et de la maintenance.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- capacité
- accès
- Compte
- hybrides
- la réalisation de
- activement
- adresses
- admin
- Tous
- Permettre
- toujours
- Amazon
- analytique
- ainsi que
- Une autre
- api
- Application
- applications
- applications
- attribué
- attaquer
- disponibles
- AWS
- Azure
- car
- devient
- va
- repères
- LES MEILLEURS
- Block
- bloqué
- Pause
- intégré
- appelé
- Appels
- Peut obtenir
- Centres
- vérifier
- CIS
- clair
- Fermer
- le cloud
- cloud Platform
- Grappe
- code
- COM
- comment
- PROBLÈMES DE PEAU
- Préoccupations
- configuration
- confus
- confusion
- NOUS CONTACTER
- Connexions
- Connectivité
- Considérer
- contexte
- des bactéries
- contrôles
- pourriez
- Couples
- création
- Carrefour
- des clients
- Clients
- dangers
- données
- les centres de données
- informatique
- Base de données
- bases de données
- profond
- profond
- Réglage par défaut
- par défaut
- définir
- différent
- faire
- éditeur
- effort
- activé
- assurer
- Environment
- erreur
- Pourtant, la
- exactement
- exemples
- exécution
- supplémentaire
- œil
- Fonctionnalité
- few
- Trouvez
- pare-feu
- Fixer
- Framework
- cadres
- fréquemment
- de
- d’étiquettes électroniques entièrement
- obtenez
- donne
- Go
- plus grand
- ici
- d'espérance
- Cependant
- HTTPS
- humain
- idée
- Active
- gestion de l'identité
- important
- in
- Infrastructure
- Interactif
- Internet
- IP
- adresses IP
- aide
- IT
- Savoir
- connu
- apprentissage
- Laisser
- Niveau
- en tirant parti
- linux
- Liste
- Style
- recherchez-
- Lot
- click
- machine learning
- Entrée
- facile
- majeur
- faire
- Fabrication
- gérés
- gestion
- Se rencontre
- pourrait
- l'esprit
- PLUS
- (en fait, presque toutes)
- mouvement
- nécessairement
- Besoins
- Nouveauté
- code
- Offres Speciales
- ONE
- ouvert
- open source
- Option
- Options
- organisation
- Autre
- propre
- mots de passe
- chemin
- Personnes
- parfaite
- autorisations
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- politique
- l'éventualité
- solide
- la parfaite pression
- traitement
- programmatiques
- fournisseurs
- public
- Putting
- recommandé
- réduire
- éloigné
- enlèvement
- ressource
- Ressources
- REST
- résultant
- Avis
- Analyse
- Rôle
- sécurisé
- sécurité
- sensible
- service
- les fournisseurs de services
- Services
- Sets
- mise
- Paramétres
- devrait
- étapes
- So
- sur mesure
- quelques
- quelque chose
- Identifier
- Commencer
- Commencez
- Région
- soumettre
- Support
- Surface
- Alentours
- sensible
- combustion propre
- Prenez
- prend
- parlant
- Les
- chose
- des choses
- Avec
- fiable
- à
- transférer
- oui
- sous-jacent
- comprendre
- compréhension
- us
- convivialité
- utilisé
- Utilisateur
- utilisateurs
- utilise
- fournisseurs
- vital
- vulnérabilités
- web
- services Web
- Quoi
- que
- qui
- tout en
- sera
- dans les
- des mots
- Activités principales
- Vous
- Votre
- zéphyrnet