Amikor az „alapértelmezett beállítások” kifejezést hallja a felhővel kapcsolatban, néhány dolog eszébe juthat: alapértelmezett rendszergazdai jelszavak új alkalmazás beállításakor, nyilvános AWS S3 tároló vagy alapértelmezett felhasználói hozzáférés. A szállítók és szolgáltatók gyakran a biztonságnál fontosabbnak tartják az ügyfelek használhatóságát és egyszerűségét, ami az alapértelmezett beállításokat eredményezi. Egy dolgot tisztázni kell: Csak azért, mert egy beállítás vagy vezérlő alapértelmezett, még nem jelenti azt, hogy ajánlott vagy biztonságos.
Az alábbiakban áttekintünk néhány példát azokra az alapértelmezésekre, amelyek veszélybe sodorhatják szervezetét.
Égszínkék
Az Azure SQL Databases – az Azure SQL felügyelt példányaival ellentétben – beépített tűzfallal rendelkezik, amely konfigurálható úgy, hogy lehetővé tegye a kapcsolatot a kiszolgáló vagy az adatbázis szintjén. Ez sok lehetőséget ad a felhasználóknak annak biztosítására, hogy a megfelelő dolgok beszéljenek.
Az Azure-on belüli alkalmazásokhoz az Azure SQL Database-hoz való csatlakozáshoz van egy „Azure Services engedélyezése” beállítás a kiszolgálón, amely 0.0.0.0-ra állítja a kezdő és a záró IP-címet. „AllowAllWindowsAzureIps” néven ártalmatlannak tűnik, de ez a beállítás úgy konfigurálta az Azure SQL Database tűzfalát, hogy ne csak az Azure-konfigurációból származó összes kapcsolatot engedélyezze, hanem bármilyen Azure konfigurációk. A funkció használatával megnyitja az adatbázist, hogy lehetővé tegye a kapcsolatokat más ügyfelektől, így nagyobb nyomás nehezedik a bejelentkezésekre és az identitáskezelésre.
Meg kell jegyezni, hogy engedélyezettek-e nyilvános IP-címek az Azure SQL Database számára. Ez szokatlan, és bár használhatja az alapértelmezettet, ez nem jelenti azt, hogy ezt kell tennie. Csökkentenie kell az SQL-kiszolgálók támadási felületét – ennek egyik módja a tűzfalszabályok részletes IP-címekkel történő meghatározása. Határozza meg az adatközpontokból és egyéb erőforrásokból elérhető címek pontos listáját.
Amazon Web Services (AWS)
EMR az Amazon nagy adatforgalmú megoldása. Nyílt forráskódú keretrendszereket használó adatfeldolgozást, interaktív elemzést és gépi tanulást kínál. Még egy erőforrás-tárgyaló (YARN) az EMR által használt Hadoop-keretrendszer előfeltétele. Aggodalomra ad okot, hogy az EMR fő szerverén található YARN egy reprezentatív állapotátviteli API-t tesz közzé, amely lehetővé teszi a távoli felhasználók számára, hogy új alkalmazásokat küldjenek be a fürtbe. Az AWS biztonsági vezérlői alapértelmezés szerint itt nincsenek engedélyezve.
Ez egy alapértelmezett konfiguráció, amelyet nem lehet észrevenni, mert néhány különböző kereszteződésben található. Ezt a problémát találjuk saját irányelveinknél, amelyek nyitott, az internetre nyitott portokat keresnek, de mivel ez egy platform, az ügyfelek összezavarodhatnak, hogy egy mögöttes EC2 infrastruktúra van, amely az EMR működését teszi lehetővé. Sőt, amikor elmennek ellenőrizni a konfigurációtHa azt észlelik, hogy az EMR konfigurációjában a „nyilvános hozzáférés blokkolása” beállítás engedélyezve van, akkor zavart okozhat. Még akkor is, ha ez az alapértelmezett beállítás engedélyezett, az EMR feltárja a 22-es és 8088-as portot, amelyek távoli kódvégrehajtásra használhatók. Ha ezt nem blokkolja a szolgáltatásvezérlési házirend (SCP), a hozzáférés-vezérlési lista vagy a gépen belüli tűzfal (pl. Linux IPTables), akkor az interneten ismert szkennerek aktívan keresik ezeket az alapértelmezett értékeket.
Google Cloud Platform (GCP)
A GCP azt az elképzelést testesíti meg, hogy az identitás a felhő új kerülete. Erőteljes és részletes engedélyrendszert használ. Azonban az egyetlen általános probléma, amely leginkább érinti az embereket, a szolgáltatásfiókokat érinti. Ez a probléma a CIS-benchmark for GCP-ben található.
Mivel a szolgáltatásszámlákat arra használják, hogy adják szolgáltatások a GCP-ben Az engedélyezett API-hívások lebonyolításának képessége, a létrehozás alapértelmezéseivel gyakran visszaélnek. A szolgáltatásfiókok lehetővé teszik más Felhasználók vagy más Szolgáltatásfiókok számára, hogy megszemélyesítsék azt. Fontos megérteni az aggodalomra okot adó mélyebb kontextust, amely lehet teljesen korlátlan hozzáférés a környezetében, amely körülveszi ezeket az alapértelmezett beállításokat.. Más szóval, a felhőben egy egyszerű hibás konfigurációnak nagyobb lehet a robbanási sugara, mint amilyennek látszik. A felhő támadási útvonala hibás konfigurációval kezdődhet, de az érzékeny adatokkal végződhet a jogosultságok kiterjesztésével, oldalirányú mozgással és rejtett érvényes engedélyek.
Minden felhasználó által kezelt (de nem felhasználó által létrehozott) alapértelmezett szolgáltatásfiókhoz hozzá van rendelve a Szerkesztői szerep, hogy támogassa az általa kínált szolgáltatásokat a GCP-ben. A javítás nem feltétlenül a Szerkesztői szerepkör egyszerű eltávolítása, mivel ez megszakíthatja a szolgáltatás működését. Itt válik fontossá az engedélyek mélyreható ismerete, mert pontosan tudnia kell, hogy a szolgáltatásfiók mely engedélyeket használja vagy nem használja, és idővel. Annak kockázata miatt, hogy egy programozott identitás potenciálisan ki van téve a visszaélésnek, létfontosságúvá válik egy biztonsági platform kihasználása, hogy legalább jogosultságokat szerezzenek.
Noha ez csak néhány példa a nagy felhőkről, remélem, ez arra ösztönzi majd, hogy alaposan átnézze a vezérlőket és a konfigurációkat. A felhőszolgáltatók nem tökéletesek. Ki vannak téve az emberi hibáknak, a sebezhetőségeknek és a biztonsági hiányosságoknak, akárcsak mi. És bár a felhőszolgáltatók kivételesen biztonságos infrastruktúrát kínálnak, mindig az a legjobb, ha megteszed az extra mérföldet, és soha nem szabad megelégedni a biztonsági higiéniával. Gyakran előfordul, hogy az alapértelmezett beállítás holtfoltokat hagy maga után, és a valódi biztonság elérése erőfeszítést és karbantartást igényel.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- képesség
- hozzáférés
- Fiók
- Fiókok
- elérése
- aktívan
- címek
- admin
- Minden termék
- lehetővé téve
- mindig
- amazon
- analitika
- és a
- Másik
- api
- Alkalmazás
- alkalmazások
- alkalmazások
- kijelölt
- támadás
- elérhető
- AWS
- Égszínkék
- mert
- válik
- hogy
- referenciaértékek
- BEST
- Blokk
- zárolt
- szünet
- beépített
- hívott
- kéri
- Kaphat
- Centers
- ellenőrizze
- CIS
- világos
- közel
- felhő
- Felhő platform
- Fürt
- kód
- COM
- hogyan
- Vonatkozik
- aggodalmak
- Configuration
- zavaros
- zavar
- Csatlakozás
- kapcsolatok
- Connectivity
- Fontolja
- kontextus
- ellenőrzés
- ellenőrzések
- tudott
- Pár
- teremtés
- Útkereszteződés
- vevő
- Ügyfelek
- veszélyeket
- dátum
- adatközpontok
- adatfeldolgozás
- adatbázis
- adatbázisok
- mély
- mélyebb
- alapértelmezett
- alapértelmezett
- meghatározó
- különböző
- Ennek
- szerkesztő
- erőfeszítés
- engedélyezve
- biztosítására
- Környezet
- hiba
- Még
- pontosan
- példák
- végrehajtás
- külön-
- szem
- Funkció
- kevés
- Találjon
- tűzfal
- Rögzít
- Keretrendszer
- keretek
- gyakran
- ból ből
- teljesen
- funkcionalitás
- kap
- ad
- Go
- nagyobb
- itt
- remény
- azonban
- HTTPS
- emberi
- ötlet
- Identitás
- identitás menedzsment
- fontos
- in
- Infrastruktúra
- interaktív
- Internet
- IP
- IP-címeket
- kérdés
- IT
- Ismer
- ismert
- tanulás
- Szabadság
- szint
- erőfölény
- linux
- Lista
- néz
- keres
- Sok
- gép
- gépi tanulás
- Fő
- karbantartás
- fontos
- csinál
- Gyártás
- sikerült
- vezetés
- Megfelel
- esetleg
- bánja
- több
- a legtöbb
- mozgalom
- szükségszerűen
- igények
- Új
- ajánlat
- Ajánlatok
- ONE
- nyitva
- nyílt forráskódú
- opció
- Opciók
- szervezet
- Más
- saját
- jelszavak
- ösvény
- Emberek (People)
- tökéletes
- engedélyek
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- Politikák
- politika
- potenciálisan
- erős
- nyomás
- feldolgozás
- programadó
- szolgáltatók
- nyilvános
- elhelyezés
- ajánlott
- csökkenteni
- távoli
- eltávolítás
- forrás
- Tudástár
- REST
- kapott
- Kritika
- Kockázat
- Szerep
- szabályok
- biztonság
- biztonság
- érzékeny
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- Szettek
- beállítás
- beállítások
- kellene
- Egyszerű
- So
- megoldások
- néhány
- valami
- forrás
- kezdet
- Kezdve
- Állami
- beküldése
- támogatás
- felületi
- környező
- fogékony
- rendszer
- Vesz
- tart
- beszéd
- A
- dolog
- dolgok
- Keresztül
- idő
- nak nek
- átruházás
- igaz
- mögöttes
- megért
- megértés
- us
- használhatóság
- használ
- használó
- Felhasználók
- hasznosítja
- gyártók
- fontos
- sérülékenységek
- háló
- webes szolgáltatások
- Mit
- vajon
- ami
- míg
- lesz
- belül
- szavak
- Munka
- te
- A te
- zephyrnet