Ko slišite »privzete nastavitve« v kontekstu oblaka, vam lahko pride na misel nekaj stvari: privzeta skrbniška gesla pri nastavljanju nove aplikacije, javno vedro AWS S3 ali privzeti uporabniški dostop. Prodajalci in ponudniki pogosto menijo, da sta uporabnost in enostavnost za stranke pomembnejša od varnosti, kar povzroči privzete nastavitve. Nekaj mora biti jasno: Če je nastavitev ali kontrolnik privzet, še ne pomeni, da je priporočen ali varen.
Spodaj bomo pregledali nekaj primerov privzetih vrednosti, zaradi katerih je lahko vaša organizacija ogrožena.
Azure
Baze podatkov Azure SQL imajo za razliko od upravljanih primerkov Azure SQL vgrajen požarni zid, ki ga je mogoče konfigurirati tako, da omogoča povezljivost na ravni strežnika ali baze podatkov. To daje uporabnikom veliko možnosti za zagotovitev, da govorijo prave stvari.
Da se aplikacije znotraj Azure povežejo z zbirko podatkov SQL Azure, je na strežniku nastavljena nastavitev »Dovoli storitve Azure«, ki začetni in končni naslov IP nastavi na 0.0.0.0. Imenuje se »AllowAllWindowsAzureIps« in se sliši neškodljivo, vendar je ta možnost konfigurirala požarni zid zbirke podatkov SQL Azure tako, da ne dovoli le vseh povezav iz vaše konfiguracije Azure, ampak tudi iz kaj Konfiguracije Azure. Z uporabo te funkcije odprete svojo zbirko podatkov, da omogočite povezave drugih strank, kar povzroči večji pritisk na prijave in upravljanje identitete.
Ena stvar, ki jo je treba upoštevati, je, ali obstajajo kakršni koli javni naslovi IP, dovoljeni za zbirko podatkov Azure SQL. To je nenavadno in čeprav lahko uporabite privzeto, to ne pomeni, da bi morali. Želeli boste zmanjšati površino napadov za strežnik SQL – eden od načinov za to je definiranje pravil požarnega zidu s podrobnimi naslovi IP. Določite točen seznam razpoložljivih naslovov iz podatkovnih centrov in drugih virov.
Amazonske spletne storitve (AWS)
EMS je Amazonova rešitev za velike količine podatkov. Ponuja obdelavo podatkov, interaktivno analitiko in strojno učenje z uporabo odprtokodnih okvirov. Yet Another Resource Negotiator (YARN) je predpogoj za ogrodje Hadoop, ki ga uporablja EMR. Zaskrbljujoče je, da YARN na glavnem strežniku EMR razkriva API za prenos reprezentativnega stanja, ki oddaljenim uporabnikom omogoča pošiljanje novih aplikacij v gručo. Varnostni kontrolniki v AWS tukaj niso privzeto omogočeni.
To je privzeta konfiguracija, ki je morda ne boste opazili, ker se nahaja na nekaj različnih križiščih. To težavo najdemo pri naših lastnih politikah, ki iščejo odprta vrata, odprta za internet, toda ker gre za platformo, lahko stranke zmedejo, da obstaja osnovna infrastruktura EC2, ki omogoča delovanje EMR. Še več, ko gredo preverit konfiglahko pride do zmede, ko opazijo, da je v konfiguraciji za EMR omogočena nastavitev »blokiraj javni dostop«. Tudi če je ta privzeta nastavitev omogočena, EMR izpostavi vrata 22 in 8088, ki se lahko uporabljajo za oddaljeno izvajanje kode. Če tega ne blokira pravilnik za nadzor storitev (SCP), seznam za nadzor dostopa ali požarni zid na gostitelju (npr. Linux IPTables), znani skenerji na internetu aktivno iščejo te privzete vrednosti.
Google Cloud Platform (GCP)
GCP uteleša idejo o identiteti kot novem obodu oblaka. Uporablja močan in razdrobljen sistem dovoljenj. Vendar pa ena razširjena težava, ki najbolj prizadene ljudi, zadeva račune storitev. Ta težava se nahaja v merilih uspešnosti CIS za GCP.
Ker se storitveni računi uporabljajo za dajanje storitev v GCP zmožnost izvajanja pooblaščenih klicev API-ja, so privzete vrednosti pri ustvarjanju pogosto zlorabljene. Storitveni računi omogočajo drugim uporabnikom ali drugim storitvenim računom, da se predstavljajo zanj. Pomembno je razumeti globlji kontekst zaskrbljenosti, ki bi lahko bil popolnoma neomejen dostop v vašem okolju, ki bi lahko obkrožal te privzete nastavitve. Z drugimi besedami, v oblaku ima lahko preprosta napačna konfiguracija večji radij eksplozije, kot se zdi na prvi pogled. Pot napada v oblaku se lahko začne pri napačni konfiguraciji, konča pa pri vaših občutljivih podatkih prek stopnjevanja privilegijev, stranskega premikanja in prikritega učinkovita dovoljenja.
Vsem uporabniško upravljanim (vendar ne uporabniško ustvarjenim) privzetim računom storitev je dodeljena vloga urejevalnika za podporo storitev v GCP, ki jih ponujajo. Popravek ni nujno preprosta odstranitev vloge urejevalnika, saj bi to lahko pokvarilo funkcionalnost storitve. Tukaj postane pomembno poglobljeno razumevanje dovoljenj, saj morate natančno vedeti, katera dovoljenja račun storitve uporablja ali ne uporablja in skozi čas. Zaradi tveganja, da je programska identiteta potencialno bolj dovzetna za zlorabo, postane izkoriščanje varnostne platforme za pridobitev vsaj privilegijev bistvenega pomena.
Čeprav je to le nekaj primerov v večjih oblakih, upam, da vas bo to navdihnilo, da si natančno ogledate svoje kontrolnike in konfiguracije. Ponudniki oblakov niso popolni. Tako kot vsi ostali so dovzetni za človeške napake, ranljivosti in varnostne vrzeli. In čeprav ponudniki storitev v oblaku ponujajo izjemno varno infrastrukturo, je vedno najbolje, da se potrudite in nikoli ne boste zadovoljni s svojo varnostno higieno. Pogosto privzeta nastavitev pusti slepe pege in doseganje prave varnosti zahteva trud in vzdrževanje.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- sposobnost
- dostop
- Račun
- računi
- doseganju
- aktivno
- naslovi
- admin
- vsi
- Dovoli
- vedno
- Amazon
- analitika
- in
- Še ena
- API
- uporaba
- aplikacije
- aplikacije
- dodeljena
- napad
- Na voljo
- AWS
- Azure
- ker
- postane
- počutje
- meril
- BEST
- Block
- blokirana
- Break
- vgrajeno
- se imenuje
- poziva
- Lahko dobiš
- centri
- preveriti
- CIS
- jasno
- Zapri
- Cloud
- Platforma v oblaku
- Grozd
- Koda
- COM
- kako
- Skrb
- Skrbi
- konfiguracija
- zmeden
- zmeda
- Connect
- povezave
- Povezovanje
- Razmislite
- ozadje
- nadzor
- Nadzor
- bi
- par
- Oblikovanje
- Crossroads
- stranka
- Stranke, ki so
- nevarnosti
- datum
- Centri podatki
- obdelava podatkov
- Baze podatkov
- baze podatkov
- globoko
- globlje
- privzeto
- privzeto
- definiranje
- drugačen
- tem
- urednik
- prizadevanje
- omogočena
- zagotovitev
- okolje
- Napaka
- Tudi
- točno
- Primeri
- izvedba
- dodatna
- oči
- Feature
- Nekaj
- Najdi
- požarni zid
- fiksna
- Okvirni
- okviri
- pogosto
- iz
- v celoti
- funkcionalnost
- dobili
- daje
- Go
- več
- tukaj
- upam,
- Vendar
- HTTPS
- človeškega
- Ideja
- identiteta
- upravljanje identitete
- Pomembno
- in
- Infrastruktura
- interaktivno
- Internet
- IP
- IP naslovi
- vprašanje
- IT
- Vedite
- znano
- učenje
- pustite
- Stopnja
- vzvod
- linux
- Seznam
- Poglej
- si
- Sklop
- stroj
- strojno učenje
- Glavne
- vzdrževanje
- velika
- Znamka
- Izdelava
- upravlja
- upravljanje
- ustreza
- morda
- moti
- več
- Najbolj
- Gibanje
- nujno
- potrebe
- Novo
- ponudba
- Ponudbe
- ONE
- odprite
- open source
- Možnost
- možnosti
- Organizacija
- Ostalo
- lastne
- gesla
- pot
- ljudje
- popolna
- Dovoljenja
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- politike
- politika
- potencialno
- močan
- tlak
- obravnavati
- programsko
- ponudniki
- javnega
- Dajanje
- priporočeno
- zmanjša
- daljinsko
- odstranitev
- vir
- viri
- REST
- rezultat
- pregleda
- Tveganje
- vloga
- pravila
- zavarovanje
- varnost
- občutljiva
- Storitev
- ponudnikov storitev
- Storitve
- Kompleti
- nastavitev
- nastavitve
- shouldnt
- Enostavno
- So
- Rešitev
- nekaj
- Nekaj
- vir
- Začetek
- Začetek
- Država
- predloži
- podpora
- Površina
- Okolica
- dovzetne
- sistem
- Bodite
- meni
- pogovor
- O
- stvar
- stvari
- skozi
- čas
- do
- prenos
- Res
- osnovni
- razumeli
- razumevanje
- us
- uporabnost
- uporaba
- uporabnik
- Uporabniki
- izkorišča
- prodajalci
- ključnega pomena
- Ranljivosti
- web
- spletne storitve
- Kaj
- ali
- ki
- medtem
- bo
- v
- besede
- delo
- Vi
- Vaša rutina za
- zefirnet