Quando senti "impostazioni predefinite" nel contesto del cloud, possono venire in mente alcune cose: password amministratore predefinite durante la configurazione di una nuova applicazione, un bucket AWS S3 pubblico o accesso utente predefinito. Spesso fornitori e fornitori considerano l'usabilità e la facilità d'uso dei clienti più importanti della sicurezza, con il risultato di impostazioni predefinite. Una cosa deve essere chiara: solo perché un'impostazione o un controllo è predefinito non significa che sia consigliato o sicuro.
Di seguito, esamineremo alcuni esempi di impostazioni predefinite che possono mettere a rischio la tua organizzazione.
azzurro
I database SQL di Azure, a differenza delle istanze gestite di SQL di Azure, dispongono di un firewall integrato che può essere configurato per consentire la connettività a livello di server o database. Ciò offre agli utenti molte opzioni per garantire che stiano parlando le cose giuste.
Per consentire alle applicazioni all'interno di Azure di connettersi a un database SQL di Azure, è presente un'impostazione "Consenti servizi di Azure" sul server che imposta gli indirizzi IP iniziale e finale su 0.0.0.0. Chiamato "AllowAllWindowsAzureIps", sembra innocuo, ma questa opzione ha configurato il firewall del database SQL di Azure non solo per consentire tutte le connessioni dalla configurazione di Azure ma anche da in qualsiasi Configurazioni di Azure. Utilizzando questa funzione, apri il tuo database per consentire le connessioni di altri clienti, esercitando una maggiore pressione sugli accessi e sulla gestione delle identità.
Un aspetto da notare è se sono presenti indirizzi IP pubblici consentiti per il database SQL di Azure. È insolito farlo e, sebbene sia possibile utilizzare l'impostazione predefinita, ciò non significa che dovresti. Ti consigliamo di ridurre la superficie di attacco per un server SQL: un modo per farlo è definire regole del firewall con indirizzi IP granulari. Definisci l'elenco esatto degli indirizzi disponibili sia dai data center che da altre risorse.
Amazon Web Services (AWS)
EMR è una soluzione per big data di Amazon. Offre elaborazione dei dati, analisi interattive e apprendimento automatico utilizzando framework open source. Yet Another Resource Negotiator (YARN) è un prerequisito per il framework Hadoop, utilizzato da EMR. La preoccupazione è che YARN sul server principale di EMR esponga un'API di trasferimento dello stato rappresentativo, consentendo agli utenti remoti di inviare nuove app al cluster. I controlli di sicurezza in AWS non sono abilitati per impostazione predefinita qui.
Questa è una configurazione predefinita che potrebbe non essere notata perché si trova in un paio di incroci diversi. Questo problema è qualcosa che troviamo con le nostre politiche alla ricerca di porte aperte aperte a Internet, ma poiché si tratta di una piattaforma, i clienti possono confondere l'esistenza di un'infrastruttura EC2 sottostante che fa funzionare EMR. Inoltre, quando vanno a controllare il file configurazione, può verificarsi confusione quando notano che nella configurazione per EMR, vedono che l'impostazione "blocca accesso pubblico" è abilitata. Anche con questa impostazione predefinita abilitata, EMR espone le porte 22 e 8088, che possono essere utilizzate per l'esecuzione di codice in modalità remota. Se questo non è bloccato da un criterio di controllo del servizio (SCP), un elenco di controllo degli accessi o un firewall sull'host (ad esempio, Linux IPTables), gli scanner noti su Internet cercano attivamente queste impostazioni predefinite.
Google Cloud Platform (GCP)
GCP incarna l'idea che l'identità sia il nuovo perimetro del cloud. Utilizza un sistema di autorizzazioni potente e granulare. Tuttavia, l'unico problema pervasivo che colpisce maggiormente le persone riguarda gli account di servizio. Questo problema risiede nei benchmark CIS per GCP.
Perché gli account di servizio servono per dare servizi in GCP la capacità di effettuare chiamate API autorizzate, le impostazioni predefinite nella creazione sono spesso utilizzate in modo improprio. Gli account di servizio consentono ad altri utenti o altri account di servizio di impersonarlo. È importante comprendere il contesto di preoccupazione più profondo, che potrebbe essere l'accesso completamente illimitato nel tuo ambiente, che potrebbe circondare queste impostazioni predefinite. In altre parole, nel cloud, un semplice errore di configurazione può avere un raggio di esplosione maggiore di quello che sembra. Un percorso di attacco al cloud può iniziare con una configurazione errata, ma terminare con i tuoi dati sensibili tramite escalation di privilegi, movimenti laterali e occultamento autorizzazioni effettive.
A tutti gli account di servizio predefiniti gestiti dall'utente (ma non creati dall'utente) viene assegnato il ruolo Editor per supportare i servizi offerti in GCP. La correzione non è necessariamente una semplice rimozione del ruolo Editor, in quanto ciò potrebbe interrompere la funzionalità del servizio. È qui che diventa importante una profonda comprensione delle autorizzazioni perché è necessario sapere esattamente quali autorizzazioni l'account di servizio utilizza o non utilizza e nel tempo. A causa del rischio che un'identità programmatica sia potenzialmente più suscettibile all'uso improprio, diventa vitale sfruttare una piattaforma di sicurezza per ottenere almeno i privilegi.
Mentre questi sono solo alcuni esempi all'interno dei principali cloud, spero che questo ti ispiri a dare un'occhiata da vicino ai tuoi controlli e alle tue configurazioni. I fornitori di servizi cloud non sono perfetti. Sono suscettibili a errori umani, vulnerabilità e lacune di sicurezza, proprio come il resto di noi. E mentre i fornitori di servizi cloud offrono un'infrastruttura eccezionalmente sicura, è sempre meglio fare il possibile e non accontentarsi mai della propria igiene della sicurezza. Spesso, un'impostazione predefinita lascia punti ciechi e il raggiungimento di una vera sicurezza richiede impegno e manutenzione.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- capacità
- accesso
- Il mio account
- conti
- il raggiungimento
- attivamente
- indirizzi
- Admin
- Tutti
- Consentire
- sempre
- Amazon
- analitica
- ed
- Un altro
- api
- Applicazioni
- applicazioni
- applicazioni
- addetto
- attacco
- disponibile
- AWS
- azzurro
- perché
- diventa
- essendo
- parametri di riferimento
- MIGLIORE
- Bloccare
- bloccato
- Rompere
- incassato
- detto
- Bandi
- Può ottenere
- centri
- dai un'occhiata
- CIS
- pulire campo
- Chiudi
- Cloud
- cloud Platform
- Cluster
- codice
- COM
- Venire
- Problemi della Pelle
- preoccupazioni
- Configurazione
- confuso
- confusione
- Connettiti
- Connessioni
- Connettività
- Prendere in considerazione
- contesto
- di controllo
- controlli
- potuto
- Coppia
- creazione
- Crocevia
- cliente
- Clienti
- pericoli
- dati
- data center
- elaborazione dati
- Banca Dati
- banche dati
- deep
- più profondo
- Predefinito
- defaults
- definizione
- diverso
- fare
- editore
- sforzo
- abilitato
- garantire
- Ambiente
- errore
- Anche
- di preciso
- Esempi
- esecuzione
- extra
- occhio
- caratteristica
- pochi
- Trovare
- firewall
- Fissare
- Contesto
- quadri
- frequentemente
- da
- completamente
- funzionalità
- ottenere
- dà
- Go
- maggiore
- qui
- speranza
- Tuttavia
- HTTPS
- umano
- idea
- Identità
- gestione dell'identità
- importante
- in
- Infrastruttura
- interattivo
- Internet
- IP
- Gli indirizzi IP
- problema
- IT
- Sapere
- conosciuto
- apprendimento
- Lasciare
- Livello
- leveraging
- linux
- Lista
- Guarda
- cerca
- lotto
- macchina
- machine learning
- Principale
- manutenzione
- maggiore
- make
- Fare
- gestito
- gestione
- Soddisfa
- forza
- mente
- Scopri di più
- maggior parte
- movimento
- necessariamente
- esigenze
- New
- offrire
- Offerte
- ONE
- aprire
- open source
- Opzione
- Opzioni
- organizzazione
- Altro
- proprio
- Le password
- sentiero
- Persone
- perfetta
- permessi
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- politica
- potenzialmente
- potente
- pressione
- lavorazione
- programmatica
- fornitori
- la percezione
- Mettendo
- raccomandato
- ridurre
- a distanza
- rimozione
- risorsa
- Risorse
- REST
- risultante
- recensioni
- Rischio
- Ruolo
- norme
- sicuro
- problemi di
- delicata
- servizio
- fornitori di servizi
- Servizi
- Set
- regolazione
- impostazioni
- dovrebbero
- Un'espansione
- So
- soluzione
- alcuni
- qualcosa
- Fonte
- inizia a
- Di partenza
- Regione / Stato
- inviare
- supporto
- superficie
- Circostante
- adatto
- sistema
- Fai
- prende
- parlando
- I
- cosa
- cose
- Attraverso
- tempo
- a
- trasferimento
- vero
- sottostante
- capire
- e una comprensione reciproca
- us
- usabilità
- uso
- Utente
- utenti
- utilizza
- fornitori
- importantissima
- vulnerabilità
- sito web
- servizi web
- Che
- se
- quale
- while
- volere
- entro
- parole
- Lavora
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro