Când auziți „setări implicite” în contextul cloud-ului, vă pot veni în minte câteva lucruri: parole implicite de administrator la configurarea unei noi aplicații, o găleată publică AWS S3 sau accesul implicit al utilizatorului. Adesea, furnizorii și furnizorii consideră că ușurința și utilizarea clienților sunt mai importante decât securitatea, rezultând setări implicite. Un lucru trebuie să fie clar: doar pentru că o setare sau un control este implicit, nu înseamnă că este recomandat sau sigur.
Mai jos, vom analiza câteva exemple de valori implicite care vă pot lăsa organizația în pericol.
Azuriu
Bazele de date Azure SQL, spre deosebire de Instanțele gestionate Azure SQL, au un firewall încorporat care poate fi configurat pentru a permite conectivitate la nivel de server sau bază de date. Acest lucru oferă utilizatorilor o mulțime de opțiuni pentru a se asigura că lucrurile potrivite vorbesc.
Pentru ca aplicațiile din Azure să se conecteze la o bază de date Azure SQL, există o setare „Permiteți serviciile Azure” pe server care setează adresele IP de început și de sfârșit la 0.0.0.0. Denumită „AllowAllWindowsAzureIps”, sună inofensiv, dar această opțiune a configurat paravanul de protecție Azure SQL Database nu numai pentru a permite toate conexiunile din configurația Azure, ci și de la Orice Configurații Azure. Prin utilizarea acestei funcții, vă deschideți baza de date pentru a permite conexiuni de la alți clienți, punând mai multă presiune asupra autentificărilor și gestionării identității.
Un lucru de reținut este dacă există adrese IP publice permise în baza de date Azure SQL. Este neobișnuit să faci acest lucru și, deși poți folosi implicit, asta nu înseamnă că ar trebui. Veți dori să reduceți suprafața de atac pentru un server SQL - o modalitate de a face acest lucru este definirea regulilor de firewall cu adrese IP granulare. Definiți lista exactă a adreselor disponibile atât din centrele de date, cât și din alte resurse.
Amazon Web Services (AWS)
EMR este o soluție de date mari de la Amazon. Oferă procesare de date, analiză interactivă și învățare automată folosind cadre open source. Yet Another Resource Negotiator (YARN) este o condiție prealabilă pentru cadrul Hadoop, pe care EMR îl folosește. Îngrijorarea este că YARN de pe serverul principal al EMR expune un API de transfer de stat reprezentativ, permițând utilizatorilor la distanță să trimită noi aplicații către cluster. Controalele de securitate din AWS nu sunt activate implicit aici.
Aceasta este o configurație implicită care poate să nu fie observată deoarece se află la câteva răscruce diferite. Această problemă este ceva ce o găsim cu propriile noastre politici care caută porturi deschise deschise pe Internet, dar, deoarece este o platformă, clienții pot fi confuzi că există o infrastructură EC2 subiacentă care face EMR să funcționeze. Mai mult, când merg să verifice configurațiaÎn caz de confuzie, poate apărea confuzie atunci când observă că în configurația pentru EMR văd că setarea „blocați accesul public” este activată. Chiar și cu această setare implicită activată, EMR expune porturile 22 și 8088, care pot fi utilizate pentru executarea codului de la distanță. Dacă acest lucru nu este blocat de o politică de control al serviciului (SCP), de o listă de control al accesului sau de un firewall de pe gazdă (de exemplu, Linux IPTables), scanerele cunoscute de pe Internet caută în mod activ aceste valori implicite.
Platforma Google Cloud (GCP)
GCP întruchipează ideea că identitatea este noul perimetru al cloud-ului. Utilizează un sistem de permisiuni puternic și granular. Cu toate acestea, singura problemă omniprezentă care afectează oamenii cel mai mult se referă la conturile de servicii. Această problemă se află în benchmark-urile CIS pentru GCP.
Deoarece Conturile de servicii sunt folosite pentru a da servicii în GCP capacitatea de a efectua apeluri API autorizate, valorile implicite în creare sunt frecvent utilizate greșit. Conturile de servicii permit altor Utilizatori sau altor Conturi de serviciu să-l uzurpare. Este important să înțelegeți contextul mai profund de îngrijorare, care ar putea fi accesul complet neîngrădit în mediul dvs., care ar putea fi în jurul acestor setări implicite. Cu alte cuvinte, în nor, o simplă configurație greșită poate avea o rază de explozie mai mare decât ceea ce vedem cu ochiul. O cale de atac în cloud poate începe la o configurare greșită, dar se poate termina la datele dvs. sensibile prin escalade de privilegii, mișcare laterală și ascuns permisiuni efective.
Toate Conturile de serviciu prestabilite gestionate de utilizator (dar nu create de utilizator) au rolul de Editor atribuit pentru a sprijini serviciile în GCP pe care le oferă. Remedierea nu este neapărat o simplă eliminare a rolului Editor, deoarece acest lucru ar putea întrerupe funcționalitatea serviciului. Aici devine importantă o înțelegere profundă a permisiunilor, deoarece trebuie să știți exact ce permisiuni folosește sau nu Contul de serviciu și în timp. Datorită riscului ca o identitate programatică să fie potențial mai susceptibilă la utilizare greșită, folosirea unei platforme de securitate pentru a obține cel puțin privilegii devine vitală.
Deși acestea sunt doar câteva exemple din norii majori, sper că acest lucru vă va inspira să aruncați o privire atentă asupra comenzilor și configurațiilor dvs. Furnizorii de cloud nu sunt perfecți. Ei sunt susceptibili la erori umane, vulnerabilități și lacune de securitate, la fel ca noi ceilalți. Și în timp ce furnizorii de servicii cloud oferă o infrastructură excepțional de sigură, este întotdeauna cel mai bine să faceți eforturi suplimentare și să nu vă mulțumiți niciodată în ceea ce privește igiena dvs. de securitate. Adesea, o setare implicită lasă puncte moarte, iar obținerea unei securități adevărate necesită efort și întreținere.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- capacitate
- acces
- Cont
- Conturi
- realizarea
- activ
- adrese
- admin
- TOATE
- Permiterea
- mereu
- Amazon
- Google Analytics
- și
- O alta
- api
- aplicație
- aplicatii
- Apps
- alocate
- ataca
- disponibil
- AWS
- Azuriu
- deoarece
- devine
- fiind
- valori de referință
- CEL MAI BUN
- Bloca
- blocat
- Pauză
- construit-in
- denumit
- apeluri
- Poate obține
- Centre
- verifica
- CSI
- clar
- Închide
- Cloud
- Platforma Cloud
- Grup
- cod
- COM
- cum
- Îngrijorare
- preocupările
- Configuraţie
- confuz
- confuzie
- Conectați
- Conexiuni
- Suport conectare
- Lua în considerare
- context
- Control
- controale
- ar putea
- Cuplu
- creaţie
- Intersecție
- client
- clienţii care
- pericole
- de date
- centre de date
- de prelucrare a datelor
- Baza de date
- baze de date
- adânc
- Mai adânc
- Mod implicit
- implicite
- definire
- diferit
- face
- editor
- efort
- activat
- asigura
- Mediu inconjurator
- eroare
- Chiar
- exact
- exemple
- execuție
- suplimentar
- ochi
- Caracteristică
- puțini
- Găsi
- firewall
- Repara
- Cadru
- cadre
- frecvent
- din
- complet
- funcționalitate
- obține
- oferă
- Go
- mai mare
- aici
- speranţă
- Totuși
- HTTPS
- uman
- idee
- Identitate
- gestionarea identității
- important
- in
- Infrastructură
- interactiv
- Internet
- IP
- Adresele IP
- problema
- IT
- Cunoaște
- cunoscut
- învăţare
- Părăsi
- Nivel
- efectului de pârghie
- linux
- Listă
- Uite
- cautati
- Lot
- maşină
- masina de învățare
- Principal
- întreținere
- major
- face
- Efectuarea
- gestionate
- administrare
- se intalneste
- ar putea
- minte
- mai mult
- cele mai multe
- mişcare
- în mod necesar
- nevoilor
- Nou
- oferi
- promoții
- ONE
- deschide
- open-source
- Opțiune
- Opţiuni
- organizație
- Altele
- propriu
- Parolele
- cale
- oameni
- Perfect
- permisiuni
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Politicile
- Politica
- potenţial
- puternic
- presiune
- prelucrare
- programatic
- furnizori
- public
- Punând
- recomandat
- reduce
- la distanta
- îndepărtare
- resursă
- Resurse
- REST
- rezultând
- revizuiască
- Risc
- Rol
- norme
- sigur
- securitate
- sensibil
- serviciu
- prestatori de servicii
- Servicii
- Seturi
- instalare
- setări
- să
- simplu
- So
- soluţie
- unele
- ceva
- Sursă
- Începe
- Pornire
- Stat
- prezenta
- a sustine
- Suprafață
- Înconjurător
- susceptibil
- sistem
- Lua
- ia
- vorbesc
- lucru
- lucruri
- Prin
- timp
- la
- transfer
- adevărat
- care stau la baza
- înţelege
- înţelegere
- us
- uzabilitate
- utilizare
- Utilizator
- utilizatorii
- utilizează
- furnizori
- vital
- Vulnerabilitățile
- web
- servicii web
- Ce
- dacă
- care
- în timp ce
- voi
- în
- cuvinte
- Apartamente
- Tu
- Ta
- zephyrnet