クラウドのコンテキストで「デフォルト設定」と聞くと、いくつかのことが頭に浮かびます。新しいアプリケーションをセットアップするときのデフォルトの管理者パスワード、パブリック AWS S3 バケット、またはデフォルトのユーザー アクセスです。 多くの場合、ベンダーやプロバイダーは、セキュリティよりも顧客の使いやすさと使いやすさを重視しているため、既定の設定になっています。 XNUMX つ明確にする必要があるのは、設定またはコントロールがデフォルトであるという理由だけで、それが推奨または安全であるとは限らないということです。
以下では、組織を危険にさらす可能性のあるデフォルトの例をいくつか確認します。
Azure
Azure SQL データベースには、Azure SQL Managed Instance とは異なり、サーバーまたはデータベース レベルでの接続を許可するように構成できる組み込みのファイアウォールがあります。 これにより、適切な内容を確実に伝えるための多くのオプションがユーザーに提供されます。
Azure 内のアプリケーションが Azure SQL データベースに接続できるように、サーバーには、開始 IP アドレスと終了 IP アドレスを 0.0.0.0 に設定する「Azure サービスを許可する」設定があります。 「AllowAllWindowsAzureIps」と呼ばれ、無害に聞こえますが、このオプションは Azure SQL Database ファイアウォールを構成して、Azure 構成からのすべての接続だけでなく、Azure 構成からのすべての接続を許可します。 どれか Azure 構成。 この機能を使用すると、データベースを開いて他の顧客からの接続を許可し、ログインと ID 管理にさらに負担をかけます。
注意すべきことの XNUMX つは、Azure SQL データベースに許可されているパブリック IP アドレスがあるかどうかです。 そうするのは珍しいことであり、デフォルトを使用することはできますが、そうするべきだという意味ではありません。 SQL サーバーの攻撃対象領域を減らしたいと思うでしょう。これを行う XNUMX つの方法は、詳細な IP アドレスを使用してファイアウォール ルールを定義することです。 データセンターと他のリソースの両方から利用可能なアドレスの正確なリストを定義します。
Amazon Webサービス(AWS)
EMR は、Amazon のビッグデータ ソリューションです。 オープンソース フレームワークを使用して、データ処理、インタラクティブな分析、機械学習を提供します。 Yet Another Resource Negotiator (YARN) は、EMR が使用する Hadoop フレームワークの前提条件です。 問題は、EMR のメイン サーバー上の YARN が表現状態転送 API を公開し、リモート ユーザーが新しいアプリをクラスターに送信できるようにすることです。 ここでは、AWS のセキュリティ コントロールはデフォルトでは有効になっていません。
これは、いくつかの異なる交差点に位置するため、気付かない可能性があるデフォルトの構成です。 この問題は、インターネットに対して開いているポートを探す独自のポリシーで発見されたものですが、これはプラットフォームであるため、EMR を機能させる基礎となる EC2 インフラストラクチャがあることにお客様が混乱する可能性があります。 さらに、彼らが構成を確認するときしばらくすると、EMR の構成で「パブリック アクセスをブロックする」設定が有効になっていることに気付くと、混乱が生じる可能性があります。 このデフォルト設定が有効になっている場合でも、EMR はポート 22 と 8088 を公開し、リモート コード実行に使用できます。 これがサービス コントロール ポリシー (SCP)、アクセス コントロール リスト、またはホスト上のファイアウォール (Linux IPTables など) によってブロックされていない場合、インターネット上の既知のスキャナーはこれらのデフォルトを積極的に探しています。
Google Cloud Platform(GCP)
GCP は、ID がクラウドの新しい境界であるという考えを体現しています。 強力できめ細かい権限システムを利用しています。 ただし、人々に最も影響を与える広範な問題の XNUMX つは、サービス アカウントに関するものです。 この問題は、GCP の CIS ベンチマークに存在します。
サービス アカウントは、 GCP のサービス 許可された API 呼び出しを行う機能、作成時のデフォルトは頻繁に悪用されます。 サービス アカウントは、他のユーザーまたは他のサービス アカウントがそれを偽装することを許可します。 これらのデフォルト設定を取り囲む可能性のある環境での完全に自由なアクセスである可能性がある、懸念のより深いコンテキストを理解することが重要です. 言い換えれば、クラウドでは、単純な構成ミスが目に見えるものよりも大きな爆風半径を持つ可能性があります. クラウドの攻撃パスは構成ミスから始まり、権限昇格、ラテラル ムーブメント、秘密裏に機密データに到達する可能性があります。 有効な権限.
ユーザーが管理する(ユーザーが作成したものではない)すべてのデフォルト サービス アカウントには、提供する GCP のサービスをサポートするための編集者の役割が割り当てられています。 サービスの機能が損なわれる可能性があるため、修正は必ずしも編集者の役割の単純な削除ではありません。 ここで、サービス アカウントが使用しているアクセス許可と使用していないアクセス許可を正確に把握する必要があるため、アクセス許可を深く理解することが重要になります。 プログラムによる ID は悪用される可能性が高いというリスクがあるため、セキュリティ プラットフォームを活用して少なくとも特権を取得することが不可欠になります。
これらは主要なクラウド内のほんの一例に過ぎませんが、これがあなたのコントロールと構成を詳しく調べるきっかけになることを願っています. クラウド プロバイダーは完璧ではありません。 私たちと同じように、人的ミス、脆弱性、セキュリティ ギャップの影響を受けやすくなっています。 また、クラウド サービス プロバイダーは非常に安全なインフラストラクチャを提供していますが、常に最善を尽くし、セキュリティの衛生状態に満足することはありません。 多くの場合、既定の設定には盲点があり、真のセキュリティを実現するには労力とメンテナンスが必要です。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- 能力
- アクセス
- アカウント
- 達成する
- 積極的に
- アドレス
- 管理人
- すべて
- 許可
- 常に
- Amazon
- 分析論
- &
- 別の
- API
- 申し込み
- アプリ
- 割り当てられた
- 攻撃
- 利用できます
- AWS
- Azure
- なぜなら
- になる
- さ
- ベンチマーク
- BEST
- ブロック
- ブロックされた
- ブレーク
- 内蔵
- 呼ばれます
- コール
- 取得することができます
- センター
- チェック
- CIS
- クリア
- 閉じる
- クラウド
- クラウドプラットフォーム
- クラスタ
- コード
- COM
- 来ます
- 懸念
- 懸念事項
- 混乱
- 混乱
- お問合せ
- Connections
- 接続性
- 検討
- コンテキスト
- コントロール
- controls
- 可能性
- カップル
- 創造
- クロスロード
- 顧客
- Customers
- 危険
- データ
- データセンター
- データ処理
- データベース
- データベースを追加しました
- 深いです
- より深い
- デフォルト
- デフォルト
- 定義
- 異なります
- すること
- エディタ
- 努力
- 使用可能
- 確保
- 環境
- エラー
- さらに
- 正確に
- 例
- 実行
- 余分な
- 目
- 特徴
- 少数の
- もう完成させ、ワークスペースに掲示しましたか?
- ファイアウォール
- 修正する
- フレームワーク
- フレームワーク
- 頻繁に
- から
- 完全に
- 機能性
- 取得する
- 与える
- Go
- でログイン
- 大きい
- こちら
- 希望
- しかしながら
- HTTPS
- 人間
- アイデア
- アイデンティティ
- アイデンティティ管理
- 重要
- in
- インフラ
- 相互作用的
- インターネット
- IP
- IPアドレス
- 問題
- IT
- 知っている
- 既知の
- 学習
- コメントを残す
- レベル
- 活用
- linuxの
- リスト
- 見て
- 探して
- たくさん
- 機械
- 機械学習
- メイン
- メンテナンス
- 主要な
- make
- 作成
- マネージド
- 管理
- ミーツ
- かもしれない
- マインド
- 他には?
- 最も
- 運動
- 必ずしも
- ニーズ
- 新作
- 提供
- オファー
- ONE
- 開いた
- オープンソース
- オプション
- オプション
- 組織
- その他
- 自分の
- パスワード
- path
- のワークプ
- 完璧
- パーミッション
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 方針
- :
- 強力な
- 圧力
- 処理
- プログラム的な
- プロバイダ
- 公共
- パッティング
- 推奨される
- 減らします
- リモート
- 除去
- リソースを追加する。
- リソース
- REST
- 結果として
- レビュー
- リスク
- 職種
- ルール
- 安全に
- セキュリティ
- 敏感な
- サービス
- サービスプロバイダ
- サービス
- セット
- 設定
- 設定
- すべき
- 簡単な拡張で
- So
- 溶液
- 一部
- 何か
- ソース
- start
- 起動
- 都道府県
- 提出する
- サポート
- 表面
- 周囲の
- がち
- 取る
- 取り
- 会話
- もの
- 物事
- 介して
- 時間
- 〜へ
- 転送
- true
- 根本的な
- わかる
- 理解する
- us
- 使いやすさ
- つかいます
- ユーザー
- users
- 利用
- ベンダー
- 極めて重要な
- 脆弱性
- ウェブ
- Webサービス
- この試験は
- かどうか
- which
- while
- 意志
- 以内
- 言葉
- 仕事
- You
- あなたの
- ゼファーネット