जब आप क्लाउड के संदर्भ में "डिफ़ॉल्ट सेटिंग्स" सुनते हैं, तो कुछ बातें दिमाग में आ सकती हैं: एक नया एप्लिकेशन सेट करते समय डिफ़ॉल्ट व्यवस्थापक पासवर्ड, एक सार्वजनिक AWS S3 बकेट, या डिफ़ॉल्ट उपयोगकर्ता पहुंच। अक्सर, विक्रेता और प्रदाता ग्राहक उपयोगिता पर विचार करते हैं और सुरक्षा की तुलना में अधिक महत्वपूर्ण होते हैं, जिसके परिणामस्वरूप डिफ़ॉल्ट सेटिंग्स होती हैं। एक बात स्पष्ट होनी चाहिए: सिर्फ इसलिए कि एक सेटिंग या नियंत्रण डिफ़ॉल्ट है इसका मतलब यह नहीं है कि यह अनुशंसित या सुरक्षित है।
नीचे, हम डिफ़ॉल्ट के कुछ उदाहरणों की समीक्षा करेंगे जो आपके संगठन को जोखिम में डाल सकते हैं।
नीला
Azure SQL डेटाबेस, Azure SQL प्रबंधित उदाहरणों के विपरीत, एक अंतर्निहित फ़ायरवॉल है जिसे सर्वर या डेटाबेस स्तर पर कनेक्टिविटी की अनुमति देने के लिए कॉन्फ़िगर किया जा सकता है। यह उपयोगकर्ताओं को यह सुनिश्चित करने के लिए बहुत सारे विकल्प देता है कि सही चीजें बोल रही हैं।
Azure SQL डेटाबेस से कनेक्ट करने के लिए Azure के अंदर के अनुप्रयोगों के लिए, सर्वर पर एक "Allow Azure Services" सेटिंग होती है जो आरंभिक और अंतिम IP पतों को 0.0.0.0 पर सेट करती है। "AllowAllWindowsAzureIps" कहा जाता है, यह हानिरहित लगता है, लेकिन इस विकल्प ने Azure SQL डेटाबेस फ़ायरवॉल को न केवल आपके Azure कॉन्फ़िगरेशन से बल्कि सभी कनेक्शनों को अनुमति देने के लिए कॉन्फ़िगर किया है कोई Azure विन्यास। इस सुविधा का उपयोग करके, आप लॉगिन और पहचान प्रबंधन पर अधिक दबाव डालते हुए, अन्य ग्राहकों से कनेक्शन की अनुमति देने के लिए अपना डेटाबेस खोलते हैं।
ध्यान देने वाली एक बात यह है कि Azure SQL डेटाबेस के लिए कोई सार्वजनिक IP पता अनुमत है या नहीं। ऐसा करना असामान्य है और, जबकि आप डिफ़ॉल्ट का उपयोग कर सकते हैं, इसका मतलब यह नहीं है कि आपको करना चाहिए। आप SQL सर्वर के लिए हमले की सतह को कम करना चाहते हैं - ऐसा करने का एक तरीका है दानेदार आईपी पतों के साथ फ़ायरवॉल नियमों को परिभाषित करना। डेटा केंद्रों और अन्य संसाधनों दोनों से उपलब्ध पतों की सटीक सूची को परिभाषित करें।
अमेज़ॅन वेब सेवा (एडब्ल्यूएस)
ईएमआर अमेज़न का एक बड़ा डेटा समाधान है। यह ओपन सोर्स फ्रेमवर्क का उपयोग करके डेटा प्रोसेसिंग, इंटरएक्टिव एनालिटिक्स और मशीन लर्निंग प्रदान करता है। फिर भी एक अन्य संसाधन वार्ताकार (YARN) Hadoop ढांचे के लिए एक शर्त है, जिसका EMR उपयोग करता है। चिंता का विषय यह है कि EMR के मुख्य सर्वर पर YARN एक प्रतिनिधि स्टेट ट्रांसफर एपीआई को उजागर करता है, जिससे दूरस्थ उपयोगकर्ता क्लस्टर में नए ऐप सबमिट कर सकते हैं। AWS में सुरक्षा नियंत्रण यहाँ डिफ़ॉल्ट रूप से सक्षम नहीं हैं।
यह एक डिफ़ॉल्ट कॉन्फ़िगरेशन है जिस पर ध्यान नहीं दिया जा सकता है क्योंकि यह दो अलग-अलग चौराहे पर स्थित है। यह समस्या कुछ ऐसी है जो हम इंटरनेट के लिए खुले बंदरगाहों की तलाश में हमारी अपनी नीतियों के साथ पाते हैं, लेकिन क्योंकि यह एक मंच है, ग्राहक भ्रमित हो सकते हैं कि ईएमआर काम करने वाली अंतर्निहित ईसी 2 आधारभूत संरचना है। इसके अलावा, जब वे कॉन्फ़िगरेशन की जांच करने जाते हैंभी, भ्रम तब हो सकता है जब वे नोटिस करते हैं कि EMR के लिए कॉन्फ़िगरेशन में, वे देखते हैं कि "ब्लॉक पब्लिक एक्सेस" सेटिंग सक्षम है। इस डिफ़ॉल्ट सेटिंग के सक्षम होने पर भी, EMR पोर्ट 22 और 8088 को उजागर करता है, जिसका उपयोग रिमोट कोड निष्पादन के लिए किया जा सकता है। यदि यह सेवा नियंत्रण नीति (SCP), अभिगम नियंत्रण सूची, या ऑन-होस्ट फ़ायरवॉल (जैसे, Linux IPTables) द्वारा अवरुद्ध नहीं है, तो इंटरनेट पर ज्ञात स्कैनर सक्रिय रूप से इन चूकों की तलाश कर रहे हैं।
Google क्लाउड प्लेटफ़ॉर्म (GCP)
GCP क्लाउड की नई परिधि होने के नाते पहचान के विचार का प्रतीक है। यह एक शक्तिशाली और दानेदार अनुमति प्रणाली का उपयोग करता है। हालांकि, एक व्यापक मुद्दा जो लोगों को सबसे ज्यादा प्रभावित करता है, वह सेवा खातों से संबंधित है। यह समस्या GCP के लिए CIS बेंचमार्क में है।
क्योंकि सेवा खाते देने के लिए उपयोग किए जाते हैं जीसीपी में सेवाएं अधिकृत एपीआई कॉल करने की क्षमता, निर्माण में चूक का अक्सर दुरुपयोग किया जाता है। सेवा खाते अन्य उपयोगकर्ताओं या अन्य सेवा खातों को इसका प्रतिरूपण करने की अनुमति देते हैं। चिंता के गहरे संदर्भ को समझना महत्वपूर्ण है, जो आपके परिवेश में पूरी तरह से मुक्त पहुंच हो सकती है, जो इन डिफ़ॉल्ट सेटिंग्स के आसपास हो सकती है. दूसरे शब्दों में, क्लाउड में, एक सामान्य गलत कॉन्फ़िगरेशन में विस्फोट का दायरा उससे बड़ा हो सकता है, जो नज़र आता है। क्लाउड अटैक पथ एक गलत कॉन्फ़िगरेशन पर शुरू हो सकता है, लेकिन आपके संवेदनशील डेटा पर विशेषाधिकार वृद्धि, पार्श्व आंदोलन और गुप्त के माध्यम से समाप्त हो सकता है प्रभावी अनुमतियाँ.
सभी उपयोगकर्ता-प्रबंधित (लेकिन उपयोगकर्ता-निर्मित नहीं) डिफ़ॉल्ट सेवा खातों को उनके द्वारा प्रदान की जाने वाली जीसीपी में सेवाओं का समर्थन करने के लिए संपादक की भूमिका सौंपी गई है। सुधार आवश्यक रूप से संपादक की भूमिका को हटाना नहीं है, क्योंकि ऐसा करने से सेवा की कार्यक्षमता भंग हो सकती है। यह वह जगह है जहां अनुमतियों की गहरी समझ महत्वपूर्ण हो जाती है क्योंकि आपको पता होना चाहिए कि सेवा खाता किन अनुमतियों का उपयोग कर रहा है या नहीं कर रहा है, और समय के साथ। इस जोखिम के कारण कि एक प्रोग्रामेटिक पहचान संभावित रूप से दुरुपयोग के लिए अतिसंवेदनशील है, कम से कम विशेषाधिकार प्राप्त करने के लिए एक सुरक्षा मंच का लाभ उठाना महत्वपूर्ण हो जाता है।
जबकि ये प्रमुख बादलों के भीतर केवल कुछ उदाहरण हैं, मुझे उम्मीद है कि यह आपको अपने नियंत्रणों और विन्यासों पर करीब से नज़र डालने के लिए प्रेरित करेगा। क्लाउड प्रदाता परिपूर्ण नहीं हैं। वे हममें से बाकी लोगों की तरह मानवीय त्रुटि, भेद्यता और सुरक्षा अंतराल के प्रति संवेदनशील हैं। और जबकि क्लाउड सेवा प्रदाता असाधारण रूप से सुरक्षित बुनियादी ढाँचे की पेशकश करते हैं, यह हमेशा अतिरिक्त प्रयास करने के लिए सबसे अच्छा होता है और कभी भी अपनी सुरक्षा स्वच्छता में आत्मसंतुष्ट न हों। अक्सर, एक डिफ़ॉल्ट सेटिंग अंधे धब्बे छोड़ देती है, और सच्ची सुरक्षा प्राप्त करने के लिए प्रयास और रखरखाव की आवश्यकता होती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- क्षमता
- पहुँच
- लेखा
- अकौन्टस(लेखा)
- प्राप्त करने
- सक्रिय रूप से
- पतों
- व्यवस्थापक
- सब
- की अनुमति दे
- हमेशा
- वीरांगना
- विश्लेषिकी
- और
- अन्य
- एपीआई
- आवेदन
- अनुप्रयोगों
- क्षुधा
- सौंपा
- आक्रमण
- उपलब्ध
- एडब्ल्यूएस
- नीला
- क्योंकि
- हो जाता है
- जा रहा है
- मानक
- BEST
- खंड
- अवरुद्ध
- टूटना
- में निर्मित
- बुलाया
- कॉल
- पा सकते हैं
- केंद्र
- चेक
- सीआईएस
- स्पष्ट
- समापन
- बादल
- क्लाउड प्लेटफॉर्म
- समूह
- कोड
- COM
- कैसे
- चिंता
- चिंताओं
- विन्यास
- उलझन में
- भ्रम
- जुडिये
- कनेक्शन
- कनेक्टिविटी
- विचार करना
- प्रसंग
- नियंत्रण
- नियंत्रण
- सका
- युगल
- निर्माण
- चौराहा
- ग्राहक
- ग्राहक
- खतरों
- तिथि
- डेटा केन्द्रों
- डेटा संसाधन
- डाटाबेस
- डेटाबेस
- गहरा
- और गहरा
- चूक
- चूक
- परिभाषित करने
- विभिन्न
- कर
- संपादक
- प्रयास
- सक्षम
- सुनिश्चित
- वातावरण
- त्रुटि
- और भी
- ठीक ठीक
- उदाहरण
- निष्पादन
- अतिरिक्त
- आंख
- Feature
- कुछ
- खोज
- फ़ायरवॉल
- फिक्स
- ढांचा
- चौखटे
- अक्सर
- से
- पूरी तरह से
- कार्यक्षमता
- मिल
- देता है
- Go
- गूगल
- अधिक से अधिक
- यहाँ उत्पन्न करें
- आशा
- तथापि
- HTTPS
- मानव
- विचार
- पहचान
- पहचान प्रबंधन
- महत्वपूर्ण
- in
- इंफ्रास्ट्रक्चर
- इंटरैक्टिव
- इंटरनेट
- IP
- आईपी पतों
- मुद्दा
- IT
- जानना
- जानने वाला
- सीख रहा हूँ
- छोड़ना
- स्तर
- लाभ
- लिनक्स
- सूची
- देखिए
- देख
- लॉट
- मशीन
- यंत्र अधिगम
- मुख्य
- रखरखाव
- प्रमुख
- बनाना
- निर्माण
- कामयाब
- प्रबंध
- की बैठक
- हो सकता है
- मन
- अधिक
- अधिकांश
- आंदोलन
- अनिवार्य रूप से
- की जरूरत है
- नया
- प्रस्ताव
- ऑफर
- ONE
- खुला
- खुला स्रोत
- विकल्प
- ऑप्शंस
- संगठन
- अन्य
- अपना
- पासवर्ड
- पथ
- स्टाफ़
- उत्तम
- अनुमतियाँ
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीतियाँ
- नीति
- संभावित
- शक्तिशाली
- दबाव
- प्रसंस्करण
- कार्यक्रम संबंधी
- प्रदाताओं
- सार्वजनिक
- लाना
- की सिफारिश की
- को कम करने
- दूरस्थ
- हटाने
- संसाधन
- उपयुक्त संसाधन चुनें
- बाकी
- जिसके परिणामस्वरूप
- की समीक्षा
- जोखिम
- भूमिका
- नियम
- सुरक्षित
- सुरक्षा
- संवेदनशील
- सेवा
- सेवा प्रदाता
- सेवाएँ
- सेट
- की स्थापना
- सेटिंग्स
- चाहिए
- सरल
- So
- समाधान
- कुछ
- कुछ
- स्रोत
- प्रारंभ
- शुरुआत में
- राज्य
- प्रस्तुत
- समर्थन
- सतह
- आसपास के
- उपयुक्त
- प्रणाली
- लेना
- लेता है
- में बात कर
- RSI
- बात
- चीज़ें
- यहाँ
- पहर
- सेवा मेरे
- स्थानांतरण
- <strong>उद्देश्य</strong>
- आधारभूत
- समझना
- समझ
- us
- प्रयोज्य
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- इस्तेमाल
- विक्रेताओं
- महत्वपूर्ण
- कमजोरियों
- वेब
- वेब सेवाओं
- क्या
- या
- कौन कौन से
- जब
- मर्जी
- अंदर
- शब्द
- काम
- आप
- आपका
- जेफिरनेट