Когда вы слышите «настройки по умолчанию» в контексте облака, на ум может прийти несколько вещей: пароли администратора по умолчанию при настройке нового приложения, общедоступная корзина AWS S3 или доступ пользователя по умолчанию. Часто поставщики и провайдеры считают удобство и простоту использования более важными, чем безопасность, что приводит к настройкам по умолчанию. Одна вещь должна быть ясной: тот факт, что параметр или элемент управления используется по умолчанию, не означает, что он рекомендован или безопасен.
Ниже мы рассмотрим несколько примеров ошибок по умолчанию, которые могут подвергнуть вашу организацию риску.
Лазурный
Базы данных SQL Azure, в отличие от Управляемых экземпляров SQL Azure, имеют встроенный брандмауэр, который можно настроить для обеспечения подключения на уровне сервера или базы данных. Это дает пользователям множество вариантов, чтобы убедиться, что говорят правильные вещи.
Чтобы приложения внутри Azure могли подключаться к базе данных SQL Azure, на сервере существует параметр «Разрешить службы Azure», который устанавливает начальный и конечный IP-адреса на 0.0.0.0. Называется «AllowAllWindowsAzureIps» и звучит безобидно, но этот параметр позволяет настроить брандмауэр базы данных SQL Azure не только для разрешения всех подключений из вашей конфигурации Azure, но и из любой Конфигурации Azure. Используя эту функцию, вы открываете свою базу данных, чтобы разрешить подключения других клиентов, оказывая больше давления на вход в систему и управление идентификацией.
Следует отметить, есть ли общедоступные IP-адреса, разрешенные для базы данных SQL Azure. Это необычно, и хотя вы можете использовать значение по умолчанию, это не означает, что вы должны это делать. Вы захотите уменьшить поверхность атаки для SQL-сервера — один из способов сделать это — определить правила брандмауэра с детализированными IP-адресами. Определите точный список доступных адресов как из дата-центров, так и из других ресурсов.
Веб-службы Amazon (AWS)
EMR — это решение для работы с большими данными от Amazon. Он предлагает обработку данных, интерактивную аналитику и машинное обучение с использованием фреймворков с открытым исходным кодом. Еще одно средство согласования ресурсов (YARN) является необходимым условием для платформы Hadoop, которую использует EMR. Проблема заключается в том, что YARN на главном сервере EMR предоставляет репрезентативный API передачи состояния, позволяя удаленным пользователям отправлять новые приложения в кластер. Элементы управления безопасностью в AWS здесь по умолчанию не включены.
Это конфигурация по умолчанию, которую можно не заметить, поскольку она находится на нескольких разных перекрестках. Эту проблему мы обнаруживаем в наших собственных политиках поиска открытых портов, открытых для Интернета, но, поскольку это платформа, клиенты могут запутаться в том, что существует базовая инфраструктура EC2, обеспечивающая работу EMR. Тем более когда они идут проверять конфигВо-первых, может возникнуть путаница, когда они заметят, что в конфигурации для EMR включена настройка «блокировать общий доступ». Даже если этот параметр по умолчанию включен, EMR предоставляет порты 22 и 8088, которые можно использовать для удаленного выполнения кода. Если это не заблокировано политикой управления службами (SCP), списком контроля доступа или брандмауэром на хосте (например, Linux IPTables), известные сканеры в Интернете активно ищут эти значения по умолчанию.
Виртуальная платформа Google (GCP)
GCP воплощает идею идентификации как нового периметра облака. Он использует мощную и детализированную систему разрешений. Однако одна широко распространенная проблема, которая больше всего затрагивает людей, касается учетных записей служб. Эта проблема находится в контрольных показателях CIS для GCP.
Поскольку сервисные аккаунты используются для предоставления услуги в GCP возможность делать авторизованные вызовы API, значения по умолчанию при создании часто используются не по назначению. Учетные записи служб позволяют другим пользователям или другим учетным записям служб выдавать себя за нее. Важно понимать более глубокий контекст беспокойства, который может заключаться в полностью беспрепятственном доступе в вашей среде, который может быть связан с этими настройками по умолчанию.. Другими словами, в облаке простая неправильная конфигурация может иметь больший радиус поражения, чем кажется на первый взгляд. Путь облачной атаки может начинаться с неправильной конфигурации, но заканчиваться вашими конфиденциальными данными из-за повышения привилегий, горизонтального перемещения и скрытых атак. эффективные разрешения.
Всем управляемым пользователями (но не созданным пользователями) учетным записям службы по умолчанию назначена роль редактора для поддержки предлагаемых ими услуг в GCP. Исправление не обязательно представляет собой простое удаление роли редактора, так как это может привести к нарушению функциональности службы. Именно здесь становится важным глубокое понимание разрешений, потому что вы должны точно знать, какие разрешения использует или не использует учетная запись службы, и с течением времени. Из-за риска того, что программная идентификация потенциально более подвержена неправомерному использованию, использование платформы безопасности для получения хотя бы привилегий становится жизненно важным.
Хотя это всего лишь несколько примеров в основных облаках, я надеюсь, что это вдохновит вас внимательно изучить свои элементы управления и конфигурации. Облачные провайдеры не идеальны. Как и все мы, они подвержены человеческим ошибкам, уязвимостям и пробелам в безопасности. И хотя поставщики облачных услуг предлагают исключительно безопасную инфраструктуру, всегда лучше сделать все возможное и никогда не останавливаться на достигнутом в соблюдении гигиены безопасности. Часто настройки по умолчанию оставляют слепые зоны, а для обеспечения настоящей безопасности требуются усилия и обслуживание.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- способность
- доступ
- Учетная запись
- Учетные записи
- достижение
- активно
- адреса
- Администратор
- Все
- Позволяющий
- всегда
- Amazon
- аналитика
- и
- Другой
- API
- Применение
- Приложения
- Программы
- назначенный
- атаковать
- доступен
- AWS
- Лазурный
- , так как:
- становится
- не являетесь
- тесты
- ЛУЧШЕЕ
- Заблокировать
- заблокировал
- Ломать
- встроенный
- под названием
- Объявления
- Может получить
- Центры
- проверка
- СНГ
- Очистить
- Закрыть
- облако
- Облачная платформа
- Кластер
- код
- COM
- как
- Беспокойство
- Обеспокоенность
- Конфигурация
- спутанный
- замешательство
- Свяжитесь
- Коммутация
- связь
- Рассматривать
- контекст
- контроль
- контрольная
- может
- Пара
- создание
- Распутье
- клиент
- Клиенты
- Опасности
- данным
- центров обработки данных
- обработка данных
- База данных
- базы данных
- глубоко
- более глубокий
- По умолчанию
- по умолчанию
- определяющий
- различный
- дело
- редактор
- усилие
- включен
- обеспечивать
- Окружающая среда
- ошибка
- Даже
- точно,
- Примеры
- выполнение
- дополнительно
- Глаза
- Особенность
- несколько
- Найдите
- брандмауэр
- фиксированный
- Рамки
- каркасы
- часто
- от
- полностью
- функциональность
- получить
- дает
- Go
- большой
- здесь
- надежды
- Однако
- HTTPS
- человек
- идея
- Личность
- управление идентификацией
- важную
- in
- Инфраструктура
- интерактивный
- Интернет
- IP
- IP-адреса
- вопрос
- IT
- Знать
- известный
- изучение
- Оставлять
- уровень
- Используя
- Linux
- Список
- посмотреть
- искать
- серия
- машина
- обучение с помощью машины
- Главная
- техническое обслуживание
- основной
- сделать
- Создание
- управляемого
- управление
- Соответствует
- может быть
- против
- БОЛЕЕ
- самых
- движение
- обязательно
- потребности
- Новые
- предлагают
- Предложения
- ONE
- открытый
- с открытым исходным кодом
- Опция
- Опции
- организация
- Другое
- собственный
- пароли
- путь
- Люди
- ИДЕАЛЬНОЕ
- Разрешения
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- политика
- потенциально
- мощный
- давление
- обработка
- программный
- поставщики
- что такое варган?
- Полагая
- Управление по борьбе с наркотиками (DEA)
- уменьшить
- удаленные
- удаление
- ресурс
- Полезные ресурсы
- ОТДЫХ
- в результате
- обзоре
- Снижение
- Роли
- условиями,
- безопасный
- безопасность
- чувствительный
- обслуживание
- поставщики услуг
- Услуги
- Наборы
- установка
- настройки
- должен
- просто
- So
- Решение
- некоторые
- удалось
- Источник
- Начало
- Начало
- Область
- отправить
- поддержка
- Поверхность
- окружающих
- восприимчивый
- система
- взять
- принимает
- говорить
- Ассоциация
- задача
- вещи
- Через
- время
- в
- перевод
- правда
- лежащий в основе
- понимать
- понимание
- us
- юзабилити
- использование
- Информация о пользователе
- пользователей
- использует
- поставщики
- жизненный
- Уязвимости
- Web
- веб-сервисы
- Что
- будь то
- который
- в то время как
- будете
- в
- слова
- Работа
- Ты
- ВАШЕ
- зефирнет