Kiedy słyszysz „ustawienia domyślne” w kontekście chmury, przychodzi ci na myśl kilka rzeczy: domyślne hasła administratora podczas konfigurowania nowej aplikacji, publiczny kubeł AWS S3 lub domyślny dostęp użytkownika. Często sprzedawcy i dostawcy uważają, że użyteczność i łatwość obsługi klienta są ważniejsze niż bezpieczeństwo, co skutkuje ustawieniami domyślnymi. Jedno musi być jasne: sam fakt, że ustawienie lub element sterujący jest domyślny, nie oznacza, że jest zalecany lub bezpieczny.
Poniżej omówimy kilka przykładów wartości domyślnych, które mogą narazić Twoją organizację na ryzyko.
Lazur
Azure SQL Databases, w przeciwieństwie do wystąpień zarządzanych Azure SQL, mają wbudowaną zaporę, którą można skonfigurować tak, aby zezwalała na łączność na poziomie serwera lub bazy danych. Daje to użytkownikom wiele opcji, aby upewnić się, że mówią właściwe rzeczy.
Aby aplikacje na platformie Azure mogły łączyć się z bazą danych Azure SQL Database, na serwerze istnieje ustawienie „Zezwalaj na usługi platformy Azure”, które ustawia początkowe i końcowe adresy IP na 0.0.0.0. Nazwana „AllowAllWindowsAzureIps” brzmi nieszkodliwie, ale ta opcja skonfigurowała zaporę Azure SQL Database tak, aby zezwalała nie tylko na wszystkie połączenia z konfiguracji platformy Azure, ale także z każdy Konfiguracje platformy Azure. Korzystając z tej funkcji, otwierasz swoją bazę danych, aby zezwalać na połączenia od innych klientów, kładąc większy nacisk na logowanie i zarządzanie tożsamością.
Należy zwrócić uwagę na to, czy istnieją jakiekolwiek publiczne adresy IP dozwolone w Azure SQL Database. Jest to niezwykłe i chociaż możesz użyć domyślnego, nie oznacza to, że powinieneś. Będziesz chciał zmniejszyć powierzchnię ataku dla serwera SQL — jednym ze sposobów na to jest zdefiniowanie reguł zapory z szczegółowymi adresami IP. Zdefiniuj dokładną listę dostępnych adresów zarówno z centrów danych, jak i innych zasobów.
Amazon Web Services (AWS)
EMR to rozwiązanie Big Data firmy Amazon. Oferuje przetwarzanie danych, interaktywne analizy i uczenie maszynowe przy użyciu frameworków open source. Yet Another Resource Negotiator (YARN) jest warunkiem wstępnym dla platformy Hadoop, z której korzysta EMR. Problem polega na tym, że YARN na głównym serwerze EMR ujawnia reprezentatywny interfejs API transferu stanu, umożliwiając zdalnym użytkownikom przesyłanie nowych aplikacji do klastra. Kontrole bezpieczeństwa w AWS nie są tutaj domyślnie włączone.
Jest to domyślna konfiguracja, która może nie zostać zauważona, ponieważ znajduje się na kilku różnych skrzyżowaniach. Ten problem jest czymś, co znajdujemy w naszych własnych zasadach szukania otwartych portów otwartych na Internet, ale ponieważ jest to platforma, klienci mogą być zdezorientowani, że istnieje podstawowa infrastruktura EC2, dzięki której EMR działa. Co więcej, kiedy idą sprawdzić plik configuracji, mogą wystąpić zamieszanie, gdy zauważą, że w konfiguracji dla EMR widzą, że ustawienie „blokuj dostęp publiczny” jest włączone. Nawet przy włączonym domyślnym ustawieniu EMR udostępnia porty 22 i 8088, których można użyć do zdalnego wykonania kodu. Jeśli nie jest to blokowane przez politykę kontroli usług (SCP), listę kontroli dostępu lub zaporę sieciową na hoście (np. Linux IPTables), znane skanery w Internecie aktywnie szukają tych ustawień domyślnych.
Google Cloud Platform (GCP)
GCP ucieleśnia ideę tożsamości będącej nowym obwodem chmury. Wykorzystuje potężny i szczegółowy system uprawnień. Jednak wszechobecny problem, który najbardziej dotyka ludzi, dotyczy kont usług. Ten problem dotyczy testów porównawczych CIS dla GCP.
Ponieważ konta usług służą do dawania usługi w GCP możliwość wykonywania autoryzowanych wywołań API, ustawienia domyślne w tworzeniu są często niewłaściwie wykorzystywane. Konta Serwisu umożliwiają innym Użytkownikom lub innym Kontom Serwisu podszywanie się pod niego. Ważne jest, aby zrozumieć głębszy kontekst obaw, którym może być w pełni nieskrępowany dostęp w Twoim środowisku, który może dotyczyć tych ustawień domyślnych. Innymi słowy, w chmurze prosta błędna konfiguracja może mieć większy promień wybuchu niż to, co widać na pierwszy rzut oka. Ścieżka ataku w chmurze może zaczynać się od błędnej konfiguracji, ale kończyć na wrażliwych danych poprzez eskalację uprawnień, ruch boczny i tajne skuteczne uprawnienia.
Wszystkie domyślne konta usług zarządzane przez użytkowników (ale nie utworzone przez użytkowników) mają przypisaną rolę edytującego w celu obsługi oferowanych przez nie usług w GCP. Poprawka niekoniecznie polega na prostym usunięciu roli redaktora, ponieważ może to spowodować uszkodzenie funkcjonalności usługi. W tym miejscu ważne staje się dogłębne zrozumienie uprawnień, ponieważ musisz dokładnie wiedzieć, jakich uprawnień używa, a których nie używa Konto usługi, i w miarę upływu czasu. Ze względu na ryzyko, że tożsamość programistyczna jest potencjalnie bardziej podatna na nadużycia, kluczowe znaczenie ma wykorzystanie platformy bezpieczeństwa w celu uzyskania przynajmniej uprawnień.
Chociaż to tylko kilka przykładów w głównych chmurach, mam nadzieję, że zainspiruje Cię to do bliższego przyjrzenia się kontrolkom i konfiguracjom. Dostawcy usług w chmurze nie są idealni. Są podatni na błędy ludzkie, luki w zabezpieczeniach i luki w zabezpieczeniach, tak jak reszta z nas. I chociaż dostawcy usług w chmurze oferują wyjątkowo bezpieczną infrastrukturę, zawsze najlepiej jest dołożyć wszelkich starań i nigdy nie popadać w samozadowolenie w kwestii higieny bezpieczeństwa. Często ustawienie domyślne pozostawia martwe punkty, a osiągnięcie prawdziwego bezpieczeństwa wymaga wysiłku i konserwacji.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- zdolność
- dostęp
- Konto
- Konta
- osiągnięcia
- aktywnie
- Adresy
- Admin
- Wszystkie kategorie
- Pozwalać
- zawsze
- Amazonka
- analityka
- i
- Inne
- api
- Zastosowanie
- aplikacje
- mobilne i webowe
- przydzielony
- atakować
- dostępny
- AWS
- Lazur
- bo
- staje się
- jest
- Benchmarki
- BEST
- Blokować
- zablokowany
- przerwa
- wbudowany
- nazywa
- Połączenia
- Może uzyskać
- Centra
- ZOBACZ
- CIS
- jasny
- Zamknij
- Chmura
- Platforma chmurowa
- Grupa
- kod
- COM
- jak
- Troska
- Obawy
- systemu
- zmieszany
- zamieszanie
- Skontaktuj się
- połączenia
- Łączność
- Rozważać
- kontekst
- kontrola
- kontroli
- mógłby
- Para
- tworzenie
- Rozdroże
- klient
- Klientów
- Niebezpieczeństwa
- dane
- centra danych
- analiza danych
- Baza danych
- Bazy danych
- głęboko
- głębiej
- Domyślnie
- Domyślnie
- definiowanie
- różne
- robi
- redaktor
- wysiłek
- włączony
- zapewnić
- Środowisko
- błąd
- Parzyste
- dokładnie
- przykłady
- egzekucja
- dodatkowy
- oko
- Cecha
- kilka
- Znajdź
- zapora
- Fix
- Framework
- Ramy
- często
- od
- w pełni
- Funkcjonalność
- otrzymać
- daje
- Go
- większy
- tutaj
- nadzieję
- Jednak
- HTTPS
- człowiek
- pomysł
- tożsamość
- zarządzanie tożsamością
- ważny
- in
- Infrastruktura
- interaktywne
- Internet
- IP
- Adresy IP
- problem
- IT
- Wiedzieć
- znany
- nauka
- Pozostawiać
- poziom
- lewarowanie
- linux
- Lista
- Popatrz
- poszukuje
- Partia
- maszyna
- uczenie maszynowe
- Główny
- konserwacja
- poważny
- robić
- Dokonywanie
- zarządzane
- i konserwacjami
- Spełnia
- może
- nic
- jeszcze
- większość
- ruch
- koniecznie
- wymagania
- Nowości
- oferta
- Oferty
- ONE
- koncepcja
- open source
- Option
- Opcje
- organizacja
- Inne
- własny
- hasła
- ścieżka
- Ludzie
- doskonały
- uprawnienia
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- polityka
- potencjalnie
- mocny
- nacisk
- przetwarzanie
- programowy
- dostawców
- publiczny
- Putting
- Zalecana
- zmniejszyć
- zdalny
- usuwanie
- Zasób
- Zasoby
- REST
- wynikły
- przeglądu
- Ryzyko
- Rola
- reguły
- bezpieczne
- bezpieczeństwo
- wrażliwy
- usługa
- usługodawcy
- Usługi
- Zestawy
- ustawienie
- w panelu ustawień
- powinien
- Prosty
- So
- rozwiązanie
- kilka
- coś
- Źródło
- początek
- Startowy
- Stan
- Zatwierdź
- wsparcie
- Powierzchnia
- otaczający
- wrażliwy
- system
- Brać
- trwa
- rozmawiać
- Połączenia
- rzecz
- rzeczy
- Przez
- czas
- do
- przenieść
- prawdziwy
- zasadniczy
- zrozumieć
- zrozumienie
- us
- użyteczność
- posługiwać się
- Użytkownik
- Użytkownicy
- wykorzystuje
- sprzedawców
- istotny
- Luki w zabezpieczeniach
- sieć
- usługi internetowe
- Co
- czy
- który
- Podczas
- będzie
- w ciągu
- słowa
- Praca
- You
- Twój
- zefirnet