Når du hører "standardinnstillinger" i konteksten av skyen, kan du tenke deg noen ting: standard administratorpassord når du setter opp en ny applikasjon, en offentlig AWS S3-bøtte eller standard brukertilgang. Ofte anser leverandører og leverandører kundens brukervennlighet og brukervennlighet som viktigere enn sikkerhet, noe som resulterer i standardinnstillinger. En ting må være klart: Bare fordi en innstilling eller kontroll er standard, betyr det ikke at den er anbefalt eller sikker.
Nedenfor vil vi se på noen eksempler på mislighold som kan sette organisasjonen din i fare.
Azure
Azure SQL-databaser har, i motsetning til Azure SQL Managed Instances, en innebygd brannmur som kan konfigureres for å tillate tilkobling på server- eller databasenivå. Dette gir brukerne mange muligheter for å sikre at de riktige tingene snakker.
For at applikasjoner inne i Azure skal koble til en Azure SQL-database, er det en "Tillat Azure Services"-innstilling på serveren som setter start- og slutt-IP-adressene til 0.0.0.0. Kalt "AllowAllWindowsAzureIps," det høres ufarlig ut, men dette alternativet konfigurerte Azure SQL Database-brannmuren til ikke bare å tillate alle tilkoblinger fra Azure-konfigurasjonen din, men fra noen Azure-konfigurasjoner. Ved å bruke denne funksjonen åpner du databasen din for å tillate tilkoblinger fra andre kunder, noe som legger mer press på pålogginger og identitetshåndtering.
En ting å merke seg er om det er noen offentlige IP-adresser som er tillatt for Azure SQL-databasen. Det er uvanlig å gjøre det, og selv om du kan bruke standarden, betyr det ikke at du bør. Du vil redusere angrepsoverflaten for en SQL-server – én måte å gjøre dette på er ved å definere brannmurregler med granulære IP-adresser. Definer den nøyaktige listen over tilgjengelige adresser fra både datasentre og andre ressurser.
Amazon Web Services (AWS)
EPJ er en stordataløsning fra Amazon. Det tilbyr databehandling, interaktiv analyse og maskinlæring ved bruk av åpen kildekode-rammeverk. Yet Another Resource Negotiator (YARN) er en forutsetning for Hadoop-rammeverket, som EMR bruker. Bekymringen er at YARN på EMRs hovedserver avslører en representasjonstilstandsoverførings-API, som lar eksterne brukere sende inn nye apper til klyngen. Sikkerhetskontroller i AWS er ikke aktivert som standard her.
Dette er en standardkonfigurasjon som kanskje ikke blir lagt merke til fordi den sitter ved et par forskjellige veikryss. Dette problemet er noe vi finner med våre egne retningslinjer på jakt etter åpne porter som er åpne for Internett, men fordi det er en plattform, kan kunder bli forvirret over at det er en underliggende EC2-infrastruktur som gjør at EMR fungerer. Dessuten, når de går for å sjekke konfigurasjonenurasjon, kan det oppstå forvirring når de legger merke til at i konfigurasjonen for EMR ser de at "blokker offentlig tilgang"-innstillingen er aktivert. Selv med denne standardinnstillingen aktivert, avslører EMR port 22 og 8088, som kan brukes til ekstern kjøring av kode. Hvis dette ikke er blokkert av en tjenestekontrollpolicy (SCP), tilgangskontrollliste eller brannmur på vertsmaskinen (f.eks. Linux IPTables), leter kjente skannere på Internett aktivt etter disse standardinnstillingene.
Google Cloud Platform (GCP)
GCP legemliggjør ideen om identitet som den nye omkretsen av skyen. Den bruker et kraftig og detaljert tillatelsessystem. Det eneste gjennomgående problemet som påvirker folk mest, angår imidlertid tjenestekontoer. Dette problemet ligger i CIS Benchmarks for GCP.
Fordi tjenestekontoer brukes til å gi tjenester i GCP muligheten til å foreta autoriserte API-anrop, blir standardinnstillingene i opprettelsen ofte misbrukt. Tjenestekontoer lar andre brukere eller andre tjenestekontoer utgi seg for dem. Det er viktig å forstå den dypere bekymringskonteksten, som kan være fullstendig uhindret tilgang i miljøet ditt, som kan være rundt disse standardinnstillingene. Med andre ord, i skyen kan en enkel feilkonfigurasjon ha en større eksplosjonsradius enn det som møter øyet. En skyangrepsbane kan starte ved en feilkonfigurasjon, men ende ved de sensitive dataene dine gjennom rettighetseskaleringer, sideveis bevegelse og skjult effektive tillatelser.
Alle brukeradministrerte (men ikke brukeropprettede) standardtjenestekontoer har redaktørrollen tildelt dem for å støtte tjenestene i GCP de tilbyr. Reparasjonen er ikke nødvendigvis en enkel fjerning av redaktørrollen, da dette kan ødelegge funksjonaliteten til tjenesten. Det er her en dyp forståelse av tillatelser blir viktig fordi du må vite nøyaktig hvilke tillatelser tjenestekontoen bruker eller ikke bruker, og over tid. På grunn av risikoen for at en programmatisk identitet potensielt er mer utsatt for misbruk, blir det viktig å utnytte en sikkerhetsplattform for å få minst privilegier.
Selv om dette bare er noen få eksempler innenfor de store skyene, håper jeg dette vil inspirere deg til å se nærmere på kontrollene og konfigurasjonene dine. Skyleverandører er ikke perfekte. De er utsatt for menneskelige feil, sårbarheter og sikkerhetshull, akkurat som resten av oss. Og selv om skytjenesteleverandører tilbyr eksepsjonelt sikker infrastruktur, er det alltid best å strekke seg en ekstra mil og aldri være selvtilfreds med sikkerhetshygienen. Ofte etterlater en standardinnstilling blinde flekker, og å oppnå ekte sikkerhet krever innsats og vedlikehold.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- evne
- adgang
- Logg inn
- kontoer
- oppnå
- aktivt
- adresser
- admin
- Alle
- tillate
- alltid
- Amazon
- analytics
- og
- En annen
- api
- Søknad
- søknader
- apps
- tildelt
- angripe
- tilgjengelig
- AWS
- Azure
- fordi
- blir
- være
- benchmarks
- BEST
- Blokker
- blokkert
- Break
- innebygd
- som heter
- Samtaler
- Kan få
- Sentre
- sjekk
- CIS
- fjerne
- Lukke
- Cloud
- Skyplattform
- Cluster
- kode
- COM
- Kom
- Bekymring
- bekymringer
- Konfigurasjon
- forvirret
- forvirring
- Koble
- Tilkoblinger
- Tilkobling
- Vurder
- kontekst
- kontroll
- kontroller
- kunne
- Par
- skaperverket
- Kryss
- kunde
- Kunder
- farene
- dato
- datasentre
- databehandling
- Database
- databaser
- dyp
- dypere
- Misligholde
- mislighold
- definere
- forskjellig
- gjør
- redaktør
- innsats
- aktivert
- sikre
- Miljø
- feil
- Selv
- nøyaktig
- eksempler
- gjennomføring
- ekstra
- øye
- Trekk
- Noen få
- Finn
- brannmur
- Fix
- Rammeverk
- rammer
- ofte
- fra
- fullt
- funksjonalitet
- få
- gir
- Go
- større
- her.
- håp
- Men
- HTTPS
- menneskelig
- Tanken
- Identitet
- identitetshåndtering
- viktig
- in
- Infrastruktur
- interaktiv
- Internet
- IP
- IP-adresser
- utstedelse
- IT
- Vet
- kjent
- læring
- Permisjon
- Nivå
- utnytte
- linux
- Liste
- Se
- ser
- Lot
- maskin
- maskinlæring
- Hoved
- vedlikehold
- større
- gjøre
- Making
- fikk til
- ledelse
- møter
- kunne
- tankene
- mer
- mest
- bevegelse
- nødvendigvis
- behov
- Ny
- tilby
- Tilbud
- ONE
- åpen
- åpen kildekode
- Alternativ
- alternativer
- organisasjon
- Annen
- egen
- passord
- banen
- Ansatte
- perfekt
- tillatelser
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Politikk
- politikk
- potensielt
- kraftig
- press
- prosessering
- programma
- tilbydere
- offentlig
- Sette
- anbefales
- redusere
- fjernkontroll
- fjerning
- ressurs
- Ressurser
- REST
- resulterende
- anmeldelse
- Risiko
- Rolle
- regler
- sikre
- sikkerhet
- sensitive
- tjeneste
- tjenestetilbydere
- Tjenester
- sett
- innstilling
- innstillinger
- bør
- Enkelt
- So
- løsning
- noen
- noe
- kilde
- Begynn
- Start
- Tilstand
- send
- støtte
- overflaten
- rundt
- utsatt
- system
- Ta
- tar
- snakker
- De
- ting
- ting
- Gjennom
- tid
- til
- overføre
- sant
- underliggende
- forstå
- forståelse
- us
- brukervennlighet
- bruke
- Bruker
- Brukere
- bruker
- leverandører
- vital
- Sikkerhetsproblemer
- web
- webtjenester
- Hva
- om
- hvilken
- mens
- vil
- innenfor
- ord
- Arbeid
- Du
- Din
- zephyrnet