Saat Anda mendengar โpengaturan defaultโ dalam konteks cloud, beberapa hal mungkin muncul di benak Anda: kata sandi admin default saat menyiapkan aplikasi baru, bucket AWS S3 publik, atau akses pengguna default. Seringkali, vendor dan penyedia menganggap kegunaan pelanggan dan kemudahan lebih penting daripada keamanan, sehingga pengaturan default. Satu hal yang harus jelas: Hanya karena pengaturan atau kontrol adalah default tidak berarti itu direkomendasikan atau aman.
Di bawah ini, kami akan meninjau beberapa contoh default yang dapat membahayakan organisasi Anda.
Biru langit
Database Azure SQL, tidak seperti Instans Terkelola Azure SQL, memiliki firewall bawaan yang dapat dikonfigurasi untuk memungkinkan konektivitas di tingkat server atau database. Ini memberi pengguna banyak opsi untuk memastikan hal yang benar dibicarakan.
Agar aplikasi di dalam Azure terhubung ke Database Azure SQL, ada pengaturan "Izinkan Layanan Azure" di server yang menetapkan alamat IP awal dan akhir ke 0.0.0.0. Disebut "AllowAllWindowsAzureIps," kedengarannya tidak berbahaya, tetapi opsi ini mengonfigurasi firewall Azure SQL Database untuk tidak hanya mengizinkan semua koneksi dari konfigurasi Azure Anda, tetapi dari Apa pun Konfigurasi Azure. Dengan menggunakan fitur ini, Anda membuka database untuk mengizinkan koneksi dari pelanggan lain, memberi tekanan lebih pada login dan manajemen identitas.
Satu hal yang perlu diperhatikan adalah apakah ada alamat IP publik yang diizinkan ke Database Azure SQL. Tidak biasa melakukannya dan, meskipun Anda dapat menggunakan default, bukan berarti Anda harus melakukannya. Anda ingin mengurangi permukaan serangan untuk server SQL โ salah satu cara untuk melakukannya adalah dengan menentukan aturan firewall dengan alamat IP granular. Tentukan daftar persis alamat yang tersedia dari pusat data dan sumber daya lainnya.
Layanan Web Amazon (AWS)
EMR adalah solusi data besar dari Amazon. Ini menawarkan pemrosesan data, analitik interaktif, dan pembelajaran mesin menggunakan kerangka kerja sumber terbuka. Yet Another Resource Negotiator (YARN) adalah prasyarat untuk kerangka kerja Hadoop, yang digunakan EMR. Kekhawatirannya adalah bahwa YARN di server utama EMR memperlihatkan API transfer status representasional, memungkinkan pengguna jarak jauh untuk mengirimkan aplikasi baru ke kluster. Kontrol keamanan di AWS tidak diaktifkan secara default di sini.
Ini adalah konfigurasi default yang mungkin tidak diperhatikan karena berada di beberapa persimpangan jalan yang berbeda. Masalah ini adalah sesuatu yang kami temukan dengan kebijakan kami sendiri yang mencari port terbuka yang terbuka ke Internet, tetapi karena ini adalah platform, pelanggan dapat bingung karena ada infrastruktur EC2 yang mendasari yang membuat EMR berfungsi. Apalagi ketika mereka pergi untuk memeriksa konfigurasiurasi, kebingungan dapat terjadi ketika mereka melihat bahwa dalam konfigurasi untuk EMR, mereka melihat pengaturan "blokir akses publik" diaktifkan. Bahkan dengan pengaturan default ini diaktifkan, EMR memperlihatkan port 22 dan 8088, yang dapat digunakan untuk eksekusi kode jarak jauh. Jika ini tidak diblokir oleh kebijakan kontrol layanan (SCP), daftar kontrol akses, atau firewall di host (misalnya, Linux IPTables), pemindai yang dikenal di Internet secara aktif mencari default ini.
Google Cloud Platform (GCP)
GCP mewujudkan ide identitas sebagai perimeter baru cloud. Ini menggunakan sistem izin yang kuat dan granular. Namun, satu masalah umum yang paling memengaruhi orang adalah Akun Layanan. Masalah ini berada di Tolok Ukur CIS untuk GCP.
Karena Akun Layanan digunakan untuk memberi layanan di GCP kemampuan untuk melakukan panggilan API resmi, default dalam pembuatan sering disalahgunakan. Akun Layanan memungkinkan Pengguna lain atau Akun Layanan lain untuk menirunya. Penting untuk memahami konteks kekhawatiran yang lebih dalam, yang dapat berupa akses yang sepenuhnya tidak terbatas di lingkungan Anda, yang dapat mengelilingi setelan default ini. Dengan kata lain, di cloud, kesalahan konfigurasi sederhana dapat memiliki radius ledakan yang lebih besar daripada yang terlihat. Jalur serangan cloud dapat dimulai dengan kesalahan konfigurasi, tetapi berakhir pada data sensitif Anda melalui peningkatan hak istimewa, pergerakan lateral, dan rahasia perizinan yang efektif.
Semua Akun Layanan default yang dikelola pengguna (namun bukan buatan pengguna) memiliki peran Editor yang ditetapkan untuk mendukung layanan di GCP yang mereka tawarkan. Perbaikan tidak harus berupa penghapusan sederhana peran Editor, karena hal itu dapat merusak fungsionalitas layanan. Di sinilah pemahaman yang mendalam tentang izin menjadi penting karena Anda harus tahu persis izin mana yang digunakan atau tidak digunakan oleh Akun Layanan, dan dari waktu ke waktu. Karena risiko identitas terprogram berpotensi lebih rentan terhadap penyalahgunaan, memanfaatkan platform keamanan untuk mendapatkan setidaknya hak istimewa menjadi penting.
Meskipun ini hanyalah beberapa contoh di dalam cloud utama, saya harap ini akan menginspirasi Anda untuk mencermati kontrol dan konfigurasi Anda. Penyedia cloud tidak sempurna. Mereka rentan terhadap kesalahan manusia, kerentanan, dan celah keamanan, sama seperti kita semua. Dan meskipun penyedia layanan cloud menawarkan infrastruktur yang sangat aman, selalu lebih baik untuk bekerja ekstra dan tidak pernah berpuas diri dalam kebersihan keamanan Anda. Seringkali, pengaturan default meninggalkan titik buta, dan mencapai keamanan yang sebenarnya membutuhkan usaha dan pemeliharaan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- kemampuan
- mengakses
- Akun
- Akun
- mencapai
- aktif
- alamat
- admin
- Semua
- Membiarkan
- selalu
- Amazon
- analisis
- dan
- Lain
- api
- Aplikasi
- aplikasi
- aplikasi
- ditugaskan
- menyerang
- tersedia
- AWS
- Biru langit
- karena
- menjadi
- makhluk
- Benchmark
- TERBAIK
- Memblokir
- diblokir
- Istirahat
- built-in
- bernama
- Panggilan
- Bisa Dapatkan
- Pusat
- memeriksa
- CIS
- jelas
- Penyelesaian
- awan
- Platform Cloud
- Kelompok
- kode
- COM
- bagaimana
- Perhatian
- Kekhawatiran
- konfigurasi
- bingung
- kebingungan
- Terhubung
- Koneksi
- Konektivitas
- Mempertimbangkan
- konteks
- kontrol
- kontrol
- bisa
- sepasang
- penciptaan
- Persimpangan jalan
- pelanggan
- pelanggan
- bahaya
- data
- Pusat Data
- pengolahan data
- Basis Data
- database
- mendalam
- lebih dalam
- Default
- default
- mendefinisikan
- berbeda
- melakukan
- editor
- usaha
- diaktifkan
- memastikan
- Lingkungan Hidup
- kesalahan
- Bahkan
- persis
- contoh
- eksekusi
- tambahan
- mata
- Fitur
- beberapa
- Menemukan
- firewall
- Memperbaiki
- Kerangka
- kerangka
- sering
- dari
- sepenuhnya
- fungsi
- mendapatkan
- memberikan
- Go
- lebih besar
- di sini
- berharap
- Namun
- HTTPS
- manusia
- ide
- identitas
- manajemen identitas
- penting
- in
- Infrastruktur
- interaktif
- Internet
- IP
- Alamat IP
- isu
- IT
- Tahu
- dikenal
- pengetahuan
- Meninggalkan
- Tingkat
- leveraging
- linux
- Daftar
- melihat
- mencari
- Lot
- mesin
- Mesin belajar
- Utama
- pemeliharaan
- utama
- membuat
- Membuat
- berhasil
- pengelolaan
- Memenuhi
- mungkin
- keberatan
- lebih
- paling
- gerakan
- perlu
- kebutuhan
- New
- menawarkan
- Penawaran
- ONE
- Buka
- open source
- pilihan
- Opsi
- organisasi
- Lainnya
- sendiri
- password
- path
- Konsultan Ahli
- sempurna
- Izin
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Kebijakan
- kebijaksanaan
- berpotensi
- kuat
- tekanan
- pengolahan
- terprogram
- penyedia
- publik
- Puting
- direkomendasikan
- menurunkan
- terpencil
- pemindahan
- sumber
- Sumber
- ISTIRAHAT
- dihasilkan
- ulasan
- Risiko
- Peran
- aturan
- aman
- keamanan
- peka
- layanan
- penyedia jasa
- Layanan
- set
- pengaturan
- pengaturan
- harus
- Sederhana
- So
- larutan
- beberapa
- sesuatu
- sumber
- awal
- Mulai
- Negara
- menyerahkan
- mendukung
- Permukaan
- Sekitarnya
- rentan
- sistem
- Mengambil
- Dibutuhkan
- pembicaraan
- Grafik
- hal
- hal
- Melalui
- waktu
- untuk
- transfer
- benar
- pokok
- memahami
- pemahaman
- us
- kegunaan
- menggunakan
- Pengguna
- Pengguna
- memanfaatkan
- vendor
- vital
- Kerentanan
- jaringan
- layanan web
- Apa
- apakah
- yang
- sementara
- akan
- dalam
- kata
- Kerja
- Kamu
- Anda
- zephyrnet.dll