Quando você ouve “configurações padrão” no contexto da nuvem, algumas coisas podem vir à mente: senhas de administrador padrão ao configurar um novo aplicativo, um bucket S3 público da AWS ou acesso de usuário padrão. Freqüentemente, fornecedores e provedores consideram a facilidade de uso do cliente mais importante do que a segurança, resultando em configurações padrão. Uma coisa precisa ficar clara: só porque uma configuração ou controle é padrão não significa que seja recomendado ou seguro.
A seguir, analisaremos alguns exemplos de inadimplência que podem colocar sua organização em risco.
Azul
Os Bancos de Dados SQL do Azure, diferentemente das Instâncias Gerenciadas do SQL do Azure, têm um firewall interno que pode ser configurado para permitir a conectividade no servidor ou no nível do banco de dados. Isso oferece aos usuários muitas opções para garantir que as coisas certas estejam falando.
Para aplicativos dentro do Azure se conectarem a um Banco de Dados SQL do Azure, há uma configuração “Permitir Serviços do Azure” no servidor que define os endereços IP inicial e final como 0.0.0.0. Chamado de “AllowAllWindowsAzureIps”, parece inofensivo, mas essa opção configurou o firewall do banco de dados SQL do Azure para não apenas permitir todas as conexões de sua configuração do Azure, mas também de qualquer Configurações do Azure. Ao usar esse recurso, você abre seu banco de dados para permitir conexões de outros clientes, pressionando mais os logins e o gerenciamento de identidades.
Uma coisa a observar é se há algum endereço IP público permitido para o Banco de Dados SQL do Azure. É incomum fazer isso e, embora você possa usar o padrão, isso não significa que você deva. Você deseja reduzir a superfície de ataque para um servidor SQL — uma maneira de fazer isso é definir regras de firewall com endereços IP granulares. Defina a lista exata de endereços disponíveis de datacenters e outros recursos.
Amazon Web Services (AWS)
EMR é uma solução de big data da Amazon. Ele oferece processamento de dados, análise interativa e aprendizado de máquina usando estruturas de código aberto. Yet Another Resource Negotiator (YARN) é um pré-requisito para a estrutura do Hadoop, que o EMR usa. A preocupação é que o YARN no servidor principal do EMR expõe uma API de transferência de estado representacional, permitindo que usuários remotos enviem novos aplicativos para o cluster. Os controles de segurança na AWS não são habilitados por padrão aqui.
Esta é uma configuração padrão que pode não ser percebida porque fica em algumas encruzilhadas diferentes. Esse problema é algo que encontramos com nossas próprias políticas em busca de portas abertas para a Internet, mas como se trata de uma plataforma, os clientes podem ficar confusos com a existência de uma infraestrutura EC2 subjacente fazendo o EMR funcionar. Além disso, quando eles vão verificar a configuraçãoção, confusão pode ocorrer quando eles percebem que na configuração do EMR, eles veem que a configuração “bloquear acesso público” está habilitada. Mesmo com essa configuração padrão habilitada, o EMR expõe as portas 22 e 8088, que podem ser usadas para execução remota de código. Se isso não for bloqueado por uma política de controle de serviço (SCP), lista de controle de acesso ou firewall no host (por exemplo, Linux IPTables), os scanners conhecidos na Internet estão procurando ativamente por esses padrões.
Google Cloud Platform (GCP)
O GCP incorpora a ideia de identidade como o novo perímetro da nuvem. Ele utiliza um sistema de permissões poderoso e granular. No entanto, o problema generalizado que mais afeta as pessoas diz respeito às contas de serviço. Esse problema reside nos benchmarks CIS para GCP.
Como as contas de serviço são usadas para fornecer serviços no GCP a capacidade de fazer chamadas de API autorizadas, os padrões na criação são frequentemente mal utilizados. As contas de serviço permitem que outros usuários ou outras contas de serviço a representem. É importante entender o contexto mais profundo de preocupação, que pode ser o acesso totalmente irrestrito em seu ambiente, que pode estar em torno dessas configurações padrão. Em outras palavras, na nuvem, uma simples configuração incorreta pode ter um raio de explosão maior do que aparenta. Um caminho de ataque na nuvem pode começar em uma configuração incorreta, mas terminar em seus dados confidenciais por meio de escalações de privilégio, movimento lateral e ocultação permissões efetivas.
Todas as contas de serviço padrão gerenciadas pelo usuário (mas não criadas pelo usuário) têm a função de editor atribuída a elas para oferecer suporte aos serviços no GCP que oferecem. A correção não é necessariamente uma simples remoção da função Editor, pois isso pode interromper a funcionalidade do serviço. É aqui que uma compreensão profunda das permissões se torna importante porque você deve saber exatamente quais permissões a conta de serviço está usando ou não usando e ao longo do tempo. Devido ao risco de uma identidade programática ser potencialmente mais suscetível ao uso indevido, aproveitar uma plataforma de segurança para obter pelo menos um privilégio torna-se vital.
Embora esses sejam apenas alguns exemplos nas principais nuvens, espero que isso inspire você a dar uma olhada em seus controles e configurações. Os provedores de nuvem não são perfeitos. Eles são suscetíveis a erros humanos, vulnerabilidades e falhas de segurança, assim como todos nós. E embora os provedores de serviços em nuvem ofereçam infraestrutura excepcionalmente segura, é sempre melhor ir além e nunca ser complacente com sua higiene de segurança. Frequentemente, uma configuração padrão deixa pontos cegos e alcançar a verdadeira segurança exige esforço e manutenção.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- habilidade
- Acesso
- Conta
- Contas
- alcançar
- ativamente
- endereços
- admin
- Todos os Produtos
- Permitindo
- sempre
- Amazon
- analítica
- e
- Outro
- api
- Aplicação
- aplicações
- Aplicativos
- atribuído
- ataque
- disponível
- AWS
- Azul
- Porque
- torna-se
- ser
- benchmarks
- MELHOR
- Bloquear
- bloqueado
- Break
- construídas em
- chamado
- chamadas
- Pode obter
- Centros
- verificar
- CIS
- remover filtragem
- Fechar
- Na nuvem
- Plataforma em nuvem
- Agrupar
- código
- COM
- como
- Interesse
- Preocupações
- Configuração
- confuso
- confusão
- Contato
- Coneções
- Conectividade
- Considerar
- contexto
- ao controle
- controles
- poderia
- Casal
- criação
- Cruzamento
- cliente
- Clientes
- perigos
- dados,
- centros de dados
- informática
- banco de dados
- bases de dados
- profundo
- mais profunda
- Padrão
- defaults
- definição
- diferente
- fazer
- editor
- esforço
- habilitado
- garantir
- Meio Ambiente
- erro
- Mesmo
- exatamente
- exemplos
- execução
- extra
- olho
- Característica
- poucos
- Encontre
- firewall
- Fixar
- Quadro
- enquadramentos
- freqüentemente
- da
- totalmente
- funcionalidade
- ter
- dá
- Go
- maior
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- esperança
- Contudo
- HTTPS
- humano
- idéia
- Dados de identificação:
- gerenciamento de identidade
- importante
- in
- Infraestrutura
- interativo
- Internet
- IP
- Endereços IP
- emitem
- IT
- Saber
- conhecido
- aprendizagem
- Deixar
- Nível
- aproveitando
- linux
- Lista
- olhar
- procurando
- lote
- máquina
- aprendizado de máquina
- a Principal
- manutenção
- principal
- fazer
- Fazendo
- gerenciados
- de grupos
- atende
- poder
- mente
- mais
- a maioria
- movimento
- necessariamente
- Cria
- Novo
- oferecer
- Oferece
- ONE
- aberto
- open source
- Opção
- Opções
- organização
- Outros
- próprio
- senhas
- caminho
- Pessoas
- perfeita
- permissões
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- políticas
- Privacidade
- potencialmente
- poderoso
- pressão
- em processamento
- Programático
- fornecedores
- público
- Colocar
- Recomenda
- reduzir
- remoto
- remoção
- recurso
- Recursos
- DESCANSO
- resultando
- rever
- Risco
- Tipo
- regras
- seguro
- segurança
- sensível
- serviço
- provedores de serviço
- Serviços
- Conjuntos
- contexto
- Configurações
- rede de apoio social
- simples
- So
- solução
- alguns
- algo
- fonte
- começo
- Comece
- Estado
- enviar
- ajuda
- superfície
- Em torno da
- suscetível
- .
- Tire
- toma
- falando
- A
- coisa
- coisas
- Através da
- tempo
- para
- transferência
- verdadeiro
- subjacente
- compreender
- compreensão
- us
- usabilidade
- usar
- Utilizador
- usuários
- utiliza
- fornecedores
- vital
- vulnerabilidades
- web
- serviços web
- O Quê
- se
- qual
- enquanto
- precisarão
- dentro
- palavras
- Atividades:
- Vocês
- investimentos
- zefirnet