När du hör "standardinställningar" i molnets sammanhang kan några saker komma att tänka på: standardadministratörslösenord när du konfigurerar en ny applikation, en offentlig AWS S3-hink eller standardanvändaråtkomst. Ofta anser leverantörer och leverantörer kundens användbarhet och enkelhet viktigare än säkerhet, vilket resulterar i standardinställningar. En sak måste vara tydlig: Bara för att en inställning eller kontroll är standard betyder det inte att den är rekommenderad eller säker.
Nedan kommer vi att granska några exempel på standardinställningar som kan utsätta din organisation för risker.
Azure
Azure SQL-databaser har, till skillnad från Azure SQL Managed Instances, en inbyggd brandvägg som kan konfigureras för att tillåta anslutning på server- eller databasnivå. Detta ger användarna många alternativ för att säkerställa att rätt saker pratar.
För att applikationer inuti Azure ska ansluta till en Azure SQL-databas finns det en "Tillåt Azure Services"-inställning på servern som ställer in start- och slut-IP-adresserna till 0.0.0.0. Kallas "AllowAllWindowsAzureIps" låter det ofarligt, men det här alternativet konfigurerade Azure SQL Database-brandväggen så att den inte bara tillåter alla anslutningar från din Azure-konfiguration utan från vilken som helst Azure-konfigurationer. Genom att använda den här funktionen öppnar du din databas för att tillåta anslutningar från andra kunder, vilket sätter mer press på inloggningar och identitetshantering.
En sak att notera är om det finns några offentliga IP-adresser tillåtna för Azure SQL Database. Det är ovanligt att göra det och även om du kan använda standarden betyder det inte att du borde. Du vill minska attackytan för en SQL-server – ett sätt att göra detta är genom att definiera brandväggsregler med granulära IP-adresser. Definiera den exakta listan över tillgängliga adresser från både datacenter och andra resurser.
Amazon Web Services (AWS)
EMR är en big-data-lösning från Amazon. Den erbjuder databehandling, interaktiv analys och maskininlärning med ramar med öppen källkod. Yet Another Resource Negotiator (YARN) är en förutsättning för Hadoop-ramverket, som EMR använder. Oron är att YARN på EMR:s huvudserver avslöjar ett representativt tillståndsöverförings-API, vilket tillåter fjärranvändare att skicka in nya appar till klustret. Säkerhetskontroller i AWS är inte aktiverade som standard här.
Detta är en standardkonfiguration som kanske inte märks eftersom den sitter vid ett par olika vägskäl. Det här problemet är något vi hittar med vår egen policy som letar efter öppna portar som är öppna för Internet, men eftersom det är en plattform kan kunderna bli förvirrade över att det finns en underliggande EC2-infrastruktur som gör att EMR fungerar. Dessutom, när de går för att kontrollera konfigurationenuration, kan förvirring uppstå när de märker att i konfigurationen för EMR ser de att inställningen "blockera offentlig åtkomst" är aktiverad. Även med denna standardinställning aktiverad, exponerar EMR port 22 och 8088, som kan användas för fjärrkörning av kod. Om detta inte blockeras av en tjänstekontrollpolicy (SCP), åtkomstkontrolllista eller brandvägg på värddatorn (t.ex. Linux IPTables), letar kända skannrar på Internet aktivt efter dessa standardinställningar.
Google Cloud Platform (GCP)
GCP förkroppsligar idén om att identitet är molnets nya omkrets. Den använder ett kraftfullt och granulärt behörighetssystem. Den enda genomgripande fråga som påverkar människor mest gäller dock tjänstekonton. Det här problemet finns i CIS Benchmarks för GCP.
Eftersom tjänstekonton används för att ge tjänster i GCP möjligheten att göra auktoriserade API-anrop, missbrukas ofta standardinställningarna i skapandet. Tjänstkonton tillåter andra användare eller andra tjänstekonton att imitera det. Det är viktigt att förstå den djupare kontexten av oro, som kan vara helt obegränsad åtkomst i din miljö, som kan vara kring dessa standardinställningar. Med andra ord, i molnet kan en enkel felkonfiguration ha en större sprängradie än vad man kan se. En molnangreppsväg kan börja vid en felaktig konfiguration, men sluta vid din känsliga data genom privilegieskalering, sidorörelse och hemlig effektiva behörigheter.
Alla användarhanterade (men inte användarskapade) standardtjänstkonton har rollen Editor tilldelad för att stödja tjänsterna i GCP de erbjuder. Korrigeringen är inte nödvändigtvis en enkel borttagning av redaktörsrollen, eftersom det kan bryta tjänstens funktionalitet. Det är här en djup förståelse av behörigheter blir viktig eftersom du måste veta exakt vilka behörigheter tjänstekontot använder eller inte använder, och över tid. På grund av risken att en programmatisk identitet potentiellt är mer mottaglig för missbruk, blir det viktigt att utnyttja en säkerhetsplattform för att åtminstone få privilegier.
Även om det här bara är några exempel inom de stora molnen, hoppas jag att detta kommer att inspirera dig att ta en närmare titt på dina kontroller och konfigurationer. Molnleverantörer är inte perfekta. De är mottagliga för mänskliga fel, sårbarheter och säkerhetsluckor, precis som resten av oss. Och även om molntjänstleverantörer erbjuder exceptionellt säker infrastruktur, är det alltid bäst att gå den extra milen och aldrig vara självbelåten i din säkerhetshygien. Ofta lämnar en standardinställning döda fläckar, och att uppnå verklig säkerhet kräver ansträngning och underhåll.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- förmåga
- tillgång
- Konto
- konton
- uppnå
- aktivt
- adresser
- administration
- Alla
- tillåta
- alltid
- amason
- analytics
- och
- Annan
- api
- Ansökan
- tillämpningar
- appar
- delad
- attackera
- tillgänglig
- AWS
- Azure
- därför att
- blir
- Där vi får lov att vara utan att konstant prestera,
- riktmärken
- BÄST
- Blockera
- blockerad
- Ha sönder
- inbyggd
- kallas
- Samtal
- Kan få
- Centers
- ta
- CIS
- klar
- Stänga
- cloud
- Molnplattform
- kluster
- koda
- COM
- komma
- Oro
- oro
- konfiguration
- förväxlas
- förvirring
- Kontakta
- Anslutningar
- Anslutningar
- Tänk
- sammanhang
- kontroll
- kontroller
- kunde
- Par
- skapande
- Vägkorsning
- kund
- Kunder
- faror
- datum
- datacenter
- databehandling
- Databas
- databaser
- djup
- djupare
- Standard
- defaults
- definierande
- olika
- gör
- redaktör
- ansträngning
- aktiverad
- säkerställa
- Miljö
- fel
- Även
- exakt
- exempel
- utförande
- extra
- ögat
- Leverans
- få
- hitta
- brandvägg
- Fast
- Ramverk
- ramar
- ofta
- från
- fullständigt
- funktionalitet
- skaffa sig
- ger
- Go
- större
- här.
- hoppas
- Men
- HTTPS
- humant
- Tanken
- Identitet
- identitetshantering
- med Esport
- in
- Infrastruktur
- interaktiva
- Internet
- IP
- IP-adresser
- fråga
- IT
- Vet
- känd
- inlärning
- Lämna
- Nivå
- hävstångs
- linux
- Lista
- se
- du letar
- Lot
- Maskinen
- maskininlärning
- Huvudsida
- underhåll
- större
- göra
- Framställning
- förvaltade
- ledning
- möter
- kanske
- emot
- mer
- mest
- rörelse
- nödvändigtvis
- behov
- Nya
- erbjudanden
- Erbjudanden
- ONE
- öppet
- öppen källkod
- Alternativet
- Tillbehör
- organisation
- Övriga
- egen
- lösenord
- bana
- Personer
- perfekt
- behörigheter
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Strategier
- policy
- potentiellt
- den mäktigaste
- tryck
- bearbetning
- programma
- leverantörer
- allmän
- sätta
- rekommenderas
- minska
- avlägsen
- avlägsnande
- resurs
- Resurser
- REST
- resulterande
- översyn
- Risk
- Roll
- regler
- säkra
- säkerhet
- känslig
- service
- tjänsteleverantörer
- Tjänster
- uppsättningar
- inställning
- inställningar
- skall
- Enkelt
- So
- lösning
- några
- något
- Källa
- starta
- Starta
- Ange
- skicka
- stödja
- yta
- kring
- apt
- system
- Ta
- tar
- tala
- Smakämnen
- sak
- saker
- Genom
- tid
- till
- överföring
- sann
- underliggande
- förstå
- förståelse
- us
- användbarhet
- användning
- Användare
- användare
- Återvinnare
- försäljare
- avgörande
- sårbarheter
- webb
- webbservice
- Vad
- om
- som
- medan
- kommer
- inom
- ord
- Arbete
- Om er
- Din
- zephyrnet