Wanneer u 'standaardinstellingen' hoort in de context van de cloud, kunt u aan een aantal dingen denken: standaard beheerderswachtwoorden bij het instellen van een nieuwe applicatie, een openbare AWS S3-bucket of standaard gebruikerstoegang. Leveranciers en providers vinden bruikbaarheid en gemak voor de klant vaak belangrijker dan beveiliging, wat resulteert in standaardinstellingen. Eén ding moet duidelijk zijn: alleen omdat een instelling of besturingselement standaard is, wil nog niet zeggen dat het aanbevolen of veilig is.
Hieronder bekijken we enkele voorbeelden van standaardinstellingen die uw organisatie in gevaar kunnen brengen.
Azuur
Azure SQL-databases hebben, in tegenstelling tot Azure SQL Managed Instances, een ingebouwde firewall die kan worden geconfigureerd om connectiviteit op server- of databaseniveau mogelijk te maken. Dit geeft gebruikers veel opties om ervoor te zorgen dat de juiste dingen aan het woord zijn.
Voor applicaties binnen Azure om verbinding te maken met een Azure SQL Database, is er een "Allow Azure Services"-instelling op de server die het begin- en eind-IP-adres instelt op 0.0.0.0. Met de naam "AllowAllWindowsAzureIps", klinkt het onschuldig, maar deze optie heeft de Azure SQL Database-firewall zo geconfigureerd dat niet alleen alle verbindingen vanuit uw Azure-configuratie zijn toegestaan, maar ook vanuit elke Azure-configuraties. Door deze functie te gebruiken, opent u uw database om verbindingen van andere klanten mogelijk te maken, wat meer druk legt op logins en identiteitsbeheer.
Een ding om op te merken is of er openbare IP-adressen zijn toegestaan voor de Azure SQL Database. Het is ongebruikelijk om dit te doen en hoewel u de standaard kunt gebruiken, betekent dit niet dat u dat zou moeten doen. U wilt het aanvalsoppervlak voor een SQL-server verkleinen. Een manier om dit te doen is door firewallregels met gedetailleerde IP-adressen te definiëren. Definieer de exacte lijst met beschikbare adressen van zowel datacenters als andere bronnen.
Amazon Web Services (AWS)
EMR is een big-data-oplossing van Amazon. Het biedt gegevensverwerking, interactieve analyse en machine learning met behulp van open source-frameworks. Yet Another Resource Negotiator (YARN) is een vereiste voor het Hadoop-framework, dat EMR gebruikt. De zorg is dat YARN op de hoofdserver van EMR een representatieve statusoverdrachts-API blootlegt, waardoor externe gebruikers nieuwe apps kunnen indienen bij het cluster. Beveiligingscontroles in AWS zijn hier niet standaard ingeschakeld.
Dit is een standaardconfiguratie die misschien niet wordt opgemerkt omdat deze zich op een aantal verschillende kruispunten bevindt. Dit probleem vinden we in ons eigen beleid op zoek naar open poorten die openstaan voor internet, maar omdat het een platform is, kunnen klanten in de war raken dat er een onderliggende EC2-infrastructuur is waardoor EMR werkt. Bovendien, wanneer ze de configAls ze merken dat ze in de configuratie voor EMR zien dat de instelling "openbare toegang blokkeren" is ingeschakeld, kan er verwarring ontstaan. Zelfs als deze standaardinstelling is ingeschakeld, stelt EMR poort 22 en 8088 bloot, die kunnen worden gebruikt voor het uitvoeren van externe code. Als dit niet wordt geblokkeerd door een servicecontrolebeleid (SCP), een toegangsbeheerlijst of een firewall op de host (bijvoorbeeld Linux IPTables), zoeken bekende scanners op internet actief naar deze standaardinstellingen.
Google Cloud Platform (GCP)
GCP belichaamt het idee dat identiteit de nieuwe perimeter van de cloud is. Het maakt gebruik van een krachtig en gedetailleerd machtigingssysteem. Het enige doordringende probleem dat mensen het meest treft, betreft echter serviceaccounts. Dit probleem bevindt zich in de CIS-benchmarks voor GCP.
Omdat serviceaccounts worden gebruikt om te geven diensten in GCP de mogelijkheid om geautoriseerde API-aanroepen te doen, worden de standaardinstellingen bij het maken vaak misbruikt. Met serviceaccounts kunnen andere gebruikers of andere serviceaccounts zich voordoen als deze. Het is belangrijk om de diepere context van zorg te begrijpen, die volledig onbelemmerde toegang in uw omgeving zou kunnen zijn, die deze standaardinstellingen zou kunnen omringen. Met andere woorden, in de cloud kan een simpele verkeerde configuratie een grotere straal hebben dan op het eerste gezicht lijkt. Een pad voor een cloudaanval kan beginnen bij een verkeerde configuratie, maar eindigen bij uw gevoelige gegevens via escalaties van bevoegdheden, zijwaartse verplaatsing en geheime effectieve machtigingen.
Aan alle door de gebruiker beheerde (maar niet door de gebruiker gemaakte) standaardserviceaccounts is de rol Editor toegewezen om de services in GCP die ze aanbieden te ondersteunen. De oplossing is niet noodzakelijkerwijs een eenvoudige verwijdering van de Editor-rol, omdat dit de functionaliteit van de service kan verstoren. Dit is waar een goed begrip van machtigingen belangrijk wordt, omdat u precies moet weten welke machtigingen het serviceaccount wel of niet gebruikt, en in de loop van de tijd. Vanwege het risico dat een programmatische identiteit potentieel gevoeliger is voor misbruik, wordt het essentieel om een beveiligingsplatform te gebruiken om op zijn minst privileges te krijgen.
Hoewel dit slechts enkele voorbeelden zijn binnen de grote clouds, hoop ik dat dit u zal inspireren om uw bedieningselementen en configuraties onder de loep te nemen. Cloudproviders zijn niet perfect. Ze zijn vatbaar voor menselijke fouten, kwetsbaarheden en beveiligingslacunes, net als de rest van ons. En hoewel cloudserviceproviders een uitzonderlijk veilige infrastructuur bieden, is het altijd het beste om een stap verder te gaan en nooit zelfgenoegzaam te zijn in uw beveiligingshygiëne. Vaak laat een standaardinstelling blinde vlekken achter en het bereiken van echte beveiliging kost moeite en onderhoud.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- vermogen
- toegang
- Account
- accounts
- het bereiken van
- actief
- adressen
- beheerder
- Alles
- Het toestaan
- altijd
- Amazone
- analytics
- en
- Nog een
- api
- Aanvraag
- toepassingen
- apps
- toegewezen
- aanvallen
- Beschikbaar
- AWS
- Azuur
- omdat
- wordt
- wezen
- benchmarks
- BEST
- Blok
- geblokkeerd
- Breken
- ingebouwd
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- Kan krijgen
- Centra
- controle
- CIS
- duidelijk
- Sluiten
- Cloud
- Cloud Platform
- TROS
- code
- COM
- hoe
- Bezorgdheid
- Zorgen
- Configuratie
- verward
- verwarring
- Verbinden
- aansluitingen
- Connectiviteit
- Overwegen
- verband
- onder controle te houden
- controles
- kon
- Koppel
- het aanmaken
- Kruising
- klant
- Klanten
- gevaren
- gegevens
- datacenters
- gegevensverwerking
- Database
- databanken
- deep
- diepere
- Standaard
- defaults
- het definiëren van
- anders
- doen
- editor
- inspanning
- ingeschakeld
- verzekeren
- Milieu
- fout
- Zelfs
- precies
- voorbeelden
- uitvoering
- extra
- oog
- Kenmerk
- weinig
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- firewall
- Bepalen
- Achtergrond
- frameworks
- vaak
- oppompen van
- geheel
- functionaliteit
- krijgen
- geeft
- Go
- Kopen Google Reviews
- meer
- hier
- hoop
- Echter
- HTTPS
- menselijk
- idee
- Identiteit
- identiteitsbeheer
- belangrijk
- in
- Infrastructuur
- interactieve
- Internet
- IP
- IP adressen
- kwestie
- IT
- blijven
- bekend
- leren
- Verlof
- Niveau
- leveraging
- linux
- Lijst
- Kijk
- op zoek
- lot
- machine
- machine learning
- Hoofd
- onderhoud
- groot
- maken
- maken
- beheerd
- management
- Meets
- macht
- denken
- meer
- meest
- beweging
- nodig
- behoeften
- New
- bieden
- Aanbod
- EEN
- open
- open source
- Keuze
- Opties
- organisatie
- Overige
- het te bezitten.
- wachtwoorden
- pad
- Mensen
- permissies
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- beleidsmaatregelen door te lezen.
- beleidsmaatregelen
- mogelijk
- krachtige
- druk
- verwerking
- programmatische
- providers
- publiek
- Putting
- aanbevolen
- verminderen
- vanop
- verwijdering
- hulpbron
- Resources
- REST
- verkregen
- beoordelen
- Risico
- Rol
- reglement
- beveiligen
- veiligheid
- gevoelig
- service
- dienstverleners
- Diensten
- Sets
- het instellen van
- settings
- moet
- Eenvoudig
- So
- oplossing
- sommige
- iets
- bron
- begin
- Start
- Land
- voorleggen
- ondersteuning
- Oppervlak
- nabijgelegen
- geneigd
- system
- Nemen
- neemt
- praat
- De
- ding
- spullen
- Door
- niet de tijd of
- naar
- overdracht
- waar
- die ten grondslag liggen
- begrijpen
- begrip
- us
- bruikbaarheid
- .
- Gebruiker
- gebruikers
- maakt gebruik van
- vendors
- vitaal
- kwetsbaarheden
- web
- webservices
- Wat
- of
- welke
- en
- wil
- binnen
- woorden
- Mijn werk
- You
- Your
- zephyrnet