כאשר אתה שומע "הגדרות ברירת מחדל" בהקשר של הענן, כמה דברים יכולים לעלות על הדעת: סיסמאות מנהל ברירת מחדל בעת הגדרת אפליקציה חדשה, דלי AWS S3 ציבורי או גישת ברירת מחדל למשתמש. לעתים קרובות, ספקים וספקים רואים את השימושיות והקלות של הלקוחות חשובה יותר מאבטחה, וכתוצאה מכך הגדרות ברירת מחדל. דבר אחד צריך להיות ברור: זה שהגדרה או פקד הם ברירת מחדל, לא אומר שהם מומלצים או מאובטחים.
להלן, נסקור כמה דוגמאות לברירות מחדל שעלולות להשאיר את הארגון שלך בסיכון.
תכלת
לבסיסי נתונים של Azure SQL, בניגוד למופעים מנוהלים של Azure SQL, יש חומת אש מובנית שניתן להגדיר כך שתאפשר קישוריות ברמת השרת או מסד הנתונים. זה נותן למשתמשים הרבה אפשרויות להבטיח שהדברים הנכונים מדברים.
כדי שיישומים בתוך Azure יתחברו ל-Azure SQL Database, קיימת הגדרה "Allow Azure Services" בשרת המגדירה את כתובות ה-IP ההתחלה והסיום ל-0.0.0.0. המכונה "AllowAllWindowsAzureIps", זה נשמע לא מזיק, אבל אפשרות זו הגדירה את חומת האש של Azure SQL Database כך שלא רק תאפשר את כל החיבורים מתצורת ה-Azure שלך אלא מ- כל תצורות Azure. על ידי שימוש בתכונה זו, אתה פותח את מסד הנתונים שלך כדי לאפשר חיבורים מלקוחות אחרים, תוך הפעלת לחץ רב יותר על כניסות וניהול זהויות.
דבר אחד שיש לשים לב אליו הוא האם ישנן כתובות IP ציבוריות המותרות למסד הנתונים של Azure SQL. זה יוצא דופן לעשות זאת, ולמרות שאתה יכול להשתמש בברירת המחדל, זה לא אומר שאתה צריך. תרצה לצמצם את משטח ההתקפה עבור שרת SQL - אחת הדרכים לעשות זאת היא על ידי הגדרת חוקי חומת אש עם כתובות IP מפורטות. הגדר את הרשימה המדויקת של הכתובות הזמינות הן ממרכזי נתונים ומשאבים אחרים.
אמזון שירותי אינטרנט (AWS)
EMR הוא פתרון ביג דאטה מאמזון. הוא מציע עיבוד נתונים, ניתוח אינטראקטיבי ולמידת מכונה באמצעות מסגרות קוד פתוח. Yet Another Resource Negotiator (YARN) הוא תנאי מוקדם למסגרת Hadoop, שבה משתמש EMR. החשש הוא ש-YARN בשרת הראשי של EMR חושף ממשק API להעברת מצב ייצוגי, המאפשר למשתמשים מרוחקים להגיש אפליקציות חדשות לאשכול. בקרות אבטחה ב-AWS אינן מופעלות כברירת מחדל כאן.
זוהי תצורת ברירת מחדל שאולי לא ניתן להבחין בה מכיוון שהיא יושבת בכמה צומת דרכים שונות. בעיה זו היא משהו שאנו מוצאים עם המדיניות שלנו שמחפשת יציאות פתוחות הפתוחות לאינטרנט, אך מכיוון שזו פלטפורמה, לקוחות יכולים להתבלבל בכך שיש תשתית EC2 הבסיסית שגורמת ל-EMR לעבוד. יתר על כן, כשהם הולכים לבדוק את התצורהיתכן ובלבול יכול להתרחש כאשר הם מבחינים שבתצורה עבור EMR, הם רואים את ההגדרה "חסום גישה ציבורית" מופעלת. אפילו כשהגדרת ברירת מחדל זו מופעלת, EMR חושף את יציאות 22 ו-8088, שניתן להשתמש בהן לביצוע קוד מרחוק. אם זה לא נחסם על ידי מדיניות בקרת שירות (SCP), רשימת בקרת גישה או חומת אש במארח (למשל, Linux IPTables), סורקים ידועים באינטרנט מחפשים באופן פעיל אחר ברירות המחדל הללו.
פלטפורמת הענן של גוגל (GCP)
GCP מגלם את הרעיון שהזהות היא ההיקף החדש של הענן. הוא משתמש במערכת הרשאות חזקה ומפורטת. עם זאת, הנושא הנרחב היחיד המשפיע ביותר על אנשים נוגע לחשבונות שירות. בעיה זו נמצאת ב-CIS Benchmarks עבור GCP.
כי חשבונות שירות משמשים לתת שירותים ב-GCP היכולת לבצע קריאות API מורשות, ברירות המחדל ביצירה מנוצלות לעתים קרובות לרעה. חשבונות שירות מאפשרים למשתמשים אחרים או לחשבונות שירות אחרים להתחזות לזה. חשוב להבין את ההקשר העמוק יותר של דאגה, שיכול להיות גישה בלתי מוגבלת לחלוטין בסביבה שלך, שיכול להיות סביב הגדרות ברירת המחדל האלה. במילים אחרות, בענן, לתצורה שגויה פשוטה יכולה להיות רדיוס פיצוץ גדול יותר ממה שנראה לעין. נתיב התקפת ענן יכול להתחיל בתצורה שגויה, אבל להסתיים בנתונים הרגישים שלך באמצעות הסלמות הרשאות, תנועה לרוחב וסמוי הרשאות יעילות.
לכל חשבונות שירות ברירת המחדל המנוהלים על ידי המשתמש (אך לא נוצרו על ידי המשתמש) מוקצה להם תפקיד העורך כדי לתמוך בשירותים ב-GCP שהם מציעים. התיקון אינו בהכרח הסרה פשוטה של תפקיד העורך, שכן פעולה זו עלולה לשבור את הפונקציונליות של השירות. זה המקום שבו הבנה עמוקה של הרשאות הופכת חשובה מכיוון שעליך לדעת בדיוק באילו הרשאות חשבון השירות משתמש או לא משתמש, ולאורך זמן. בשל הסיכון שזהות פרוגרמטית עשויה להיות חשופה יותר לשימוש לרעה, מינוף פלטפורמת אבטחה כדי לקבל לפחות הרשאות הופך להיות חיוני.
אמנם אלו הן רק כמה דוגמאות בתוך העננים הגדולים, אבל אני מקווה שזה ייתן לך השראה להסתכל מקרוב על הפקדים והתצורות שלך. ספקי ענן אינם מושלמים. הם רגישים לטעויות אנוש, פגיעויות ופערי אבטחה, בדיוק כמו כולנו. ולמרות שספקי שירותי ענן מציעים תשתית מאובטחת בצורה יוצאת דופן, תמיד עדיף לעשות את הקילומטר הנוסף ולעולם לא להיות שאנן בהיגיינת האבטחה שלך. לעתים קרובות, הגדרת ברירת מחדל משאירה כתמים עיוורים, והשגת אבטחה אמיתית דורשת מאמץ ותחזוקה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- יכולת
- גישה
- חֶשְׁבּוֹן
- חשבונות
- השגתי
- באופן פעיל
- כתובות
- מנהל
- תעשיות
- מאפשר
- תמיד
- אמזון בעברית
- ניתוח
- ו
- אחר
- API
- בקשה
- יישומים
- אפליקציות
- שהוקצה
- לתקוף
- זמין
- AWS
- תכלת
- כי
- הופך להיות
- להיות
- מבחני ביצועים
- הטוב ביותר
- לחסום
- חסום
- לשבור
- מובנה
- נקרא
- שיחות
- יכול לקבל
- מרכזים
- לבדוק
- חבר עמים
- ברור
- סְגוֹר
- ענן
- פלטפורמת ענן
- אשכול
- קוד
- COM
- איך
- דְאָגָה
- דאגות
- תְצוּרָה
- מבולבל
- בלבול
- לְחַבֵּר
- חיבורי
- קישוריות
- לשקול
- הקשר
- לִשְׁלוֹט
- בקרות
- יכול
- זוג
- יצירה
- פרשת דרכים
- לקוח
- לקוחות
- סכנות
- נתונים
- מרכז נתונים
- עיבוד נתונים
- מסד נתונים
- מאגרי מידע
- עמוק
- עמוק יותר
- בְּרִירַת מֶחדָל
- מחדל
- הגדרה
- אחר
- עושה
- עורך
- מאמץ
- מופעל
- לְהַבטִיחַ
- סביבה
- שגיאה
- אֲפִילוּ
- בדיוק
- דוגמאות
- הוצאת להורג
- נוסף
- עין
- מאפיין
- מעטים
- חומת אש
- לסדר
- מסגרת
- מסגרות
- בתדירות גבוהה
- החל מ-
- לגמרי
- פונקציונלי
- לקבל
- נותן
- Go
- יותר
- כאן
- לקוות
- אולם
- HTTPS
- בן אנוש
- רעיון
- זהות
- ניהול זהות
- חשוב
- in
- תשתית
- אינטראקטיבי
- אינטרנט
- IP
- כתובות IP
- סוגיה
- IT
- לדעת
- ידוע
- למידה
- יציאה
- רמה
- מינוף
- לינוקס
- רשימה
- נראה
- הסתכלות
- מגרש
- מכונה
- למידת מכונה
- ראשי
- תחזוקה
- גדול
- לעשות
- עשייה
- הצליח
- ניהול
- פוגשת
- יכול
- אכפת לי
- יותר
- רוב
- תנועה
- בהכרח
- צרכי
- חדש
- הַצָעָה
- המיוחדות שלנו
- ONE
- לפתוח
- קוד פתוח
- אפשרות
- אפשרויות
- ארגון
- אחר
- שֶׁלוֹ
- סיסמאות
- נתיב
- אֲנָשִׁים
- הרשאות
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- מדיניות
- פוטנציאל
- חזק
- לחץ
- תהליך
- פרוגרמטית
- ספקים
- ציבורי
- מכניס
- מוּמלָץ
- להפחית
- מרחוק
- הסרה
- משאב
- משאבים
- REST
- וכתוצאה מכך
- סקירה
- הסיכון
- תפקיד
- כללי
- לבטח
- אבטחה
- רגיש
- שרות
- ספקי שירות
- שירותים
- סטים
- הצבה
- הגדרות
- צריך
- פָּשׁוּט
- So
- פִּתָרוֹן
- כמה
- משהו
- מָקוֹר
- התחלה
- החל
- מדינה
- להגיש
- תמיכה
- משטח
- הסובב
- apt
- מערכת
- לקחת
- לוקח
- מדבר
- השמיים
- דבר
- דברים
- דרך
- זמן
- ל
- להעביר
- נָכוֹן
- בְּסִיסִי
- להבין
- הבנה
- us
- שמישות
- להשתמש
- משתמש
- משתמשים
- מנצל
- ספקים
- חיוני
- פגיעויות
- אינטרנט
- שירותי אינטרנט
- מה
- אם
- אשר
- בזמן
- יצטרך
- בתוך
- מילים
- תיק עבודות
- אתה
- זפירנט