เมื่อคุณได้ยิน “การตั้งค่าเริ่มต้น” ในบริบทของคลาวด์ คุณอาจนึกถึงบางสิ่ง: รหัสผ่านเริ่มต้นของผู้ดูแลระบบเมื่อตั้งค่าแอปพลิเคชันใหม่ บัคเก็ต AWS S3 สาธารณะ หรือการเข้าถึงของผู้ใช้เริ่มต้น บ่อยครั้ง ผู้ขายและผู้ให้บริการพิจารณาว่าการใช้งานของลูกค้าและความง่ายดายมีความสำคัญมากกว่าความปลอดภัย ส่งผลให้มีการตั้งค่าเริ่มต้น สิ่งหนึ่งที่ต้องชัดเจน: เพียงเพราะการตั้งค่าหรือการควบคุมเป็นค่าเริ่มต้นไม่ได้หมายความว่าแนะนำหรือปลอดภัย
ด้านล่างนี้ เราจะตรวจสอบตัวอย่างค่าเริ่มต้นที่อาจทำให้องค์กรของคุณตกอยู่ในความเสี่ยง
สีฟ้า
ฐานข้อมูล Azure SQL ซึ่งแตกต่างจาก Azure SQL Managed Instances คือมีไฟร์วอลล์ในตัวที่สามารถกำหนดค่าให้อนุญาตการเชื่อมต่อที่ระดับเซิร์ฟเวอร์หรือฐานข้อมูล สิ่งนี้ทำให้ผู้ใช้มีตัวเลือกมากมายเพื่อให้แน่ใจว่ากำลังพูดถึงสิ่งที่ถูกต้อง
สำหรับแอปพลิเคชันภายใน Azure เพื่อเชื่อมต่อกับฐานข้อมูล Azure SQL จะมีการตั้งค่า "อนุญาตบริการ Azure" บนเซิร์ฟเวอร์ที่ตั้งค่าที่อยู่ IP เริ่มต้นและสิ้นสุดเป็น 0.0.0.0 เรียกว่า “AllowAllWindowsAzureIps” ซึ่งฟังดูไม่เป็นอันตราย แต่ตัวเลือกนี้กำหนดค่าไฟร์วอลล์ฐานข้อมูล Azure SQL ให้ไม่เพียงแต่อนุญาตการเชื่อมต่อทั้งหมดจากการกำหนดค่า Azure ของคุณเท่านั้น แต่จาก ใด การกำหนดค่า Azure เมื่อใช้คุณสมบัตินี้ คุณจะเปิดฐานข้อมูลของคุณเพื่ออนุญาตการเชื่อมต่อจากลูกค้ารายอื่น เพิ่มแรงกดดันในการเข้าสู่ระบบและการจัดการข้อมูลประจำตัว
สิ่งหนึ่งที่ควรทราบคือมีที่อยู่ IP สาธารณะที่อนุญาตให้ใช้กับฐานข้อมูล Azure SQL หรือไม่ เป็นเรื่องปกติที่จะทำเช่นนั้น และแม้ว่าคุณจะใช้ค่าเริ่มต้นได้ แต่ก็ไม่ได้หมายความว่าคุณควรทำเช่นนั้น คุณจะต้องลดพื้นผิวการโจมตีสำหรับเซิร์ฟเวอร์ SQL วิธีหนึ่งในการทำเช่นนี้คือการกำหนดกฎไฟร์วอลล์ด้วยที่อยู่ IP แบบละเอียด กำหนดรายการที่อยู่ที่แน่นอนจากทั้งศูนย์ข้อมูลและทรัพยากรอื่นๆ
Amazon Web Services (AWS)
EMR เป็นโซลูชันข้อมูลขนาดใหญ่จาก Amazon ให้บริการการประมวลผลข้อมูล การวิเคราะห์เชิงโต้ตอบ และการเรียนรู้ของเครื่องโดยใช้เฟรมเวิร์กโอเพ่นซอร์ส Yet Another Resource Negotiator (YARN) เป็นข้อกำหนดเบื้องต้นสำหรับเฟรมเวิร์ก Hadoop ซึ่ง EMR ใช้ ข้อกังวลคือ YARN บนเซิร์ฟเวอร์หลักของ EMR เปิดเผย API การถ่ายโอนสถานะตัวแทน ซึ่งอนุญาตให้ผู้ใช้ระยะไกลส่งแอปใหม่ไปยังคลัสเตอร์ การควบคุมความปลอดภัยใน AWS ไม่ได้เปิดใช้งานตามค่าเริ่มต้นที่นี่
นี่คือการกำหนดค่าเริ่มต้นที่อาจไม่มีใครสังเกตเห็นเพราะตั้งอยู่ที่ทางแยกสองทาง ปัญหานี้เป็นสิ่งที่เราพบในนโยบายของเราที่กำลังมองหาพอร์ตเปิดที่เปิดสู่อินเทอร์เน็ต แต่เนื่องจากเป็นแพลตฟอร์ม ลูกค้าอาจสับสนว่ามีโครงสร้างพื้นฐาน EC2 พื้นฐานที่ทำให้ EMR ทำงานได้ นอกจากนี้ เมื่อพวกเขาไปตรวจสอบการกำหนดค่าความสับสนอาจเกิดขึ้นได้เมื่อพวกเขาสังเกตเห็นว่าในการกำหนดค่าสำหรับ EMR พวกเขาเห็นการตั้งค่า "บล็อกการเข้าถึงสาธารณะ" ถูกเปิดใช้งาน แม้จะเปิดใช้งานการตั้งค่าเริ่มต้นนี้ EMR จะแสดงพอร์ต 22 และ 8088 ซึ่งสามารถใช้สำหรับการเรียกใช้โค้ดจากระยะไกล หากสิ่งนี้ไม่ถูกบล็อกโดยนโยบายควบคุมบริการ (SCP) รายการควบคุมการเข้าถึง หรือไฟร์วอลล์บนโฮสต์ (เช่น Linux IPTables) โปรแกรมสแกนที่รู้จักบนอินเทอร์เน็ตจะค้นหาค่าเริ่มต้นเหล่านี้อยู่
Google คลาวด์แพลตฟอร์ม (GCP)
GCP นำเสนอแนวคิดของการระบุตัวตนที่เป็นขอบเขตใหม่ของระบบคลาวด์ มันใช้ระบบการอนุญาตที่มีประสิทธิภาพและละเอียด อย่างไรก็ตาม ปัญหาหนึ่งที่แพร่หลายซึ่งส่งผลกระทบต่อผู้คนมากที่สุดคือปัญหาเกี่ยวกับบัญชีบริการ ปัญหานี้อยู่ในเกณฑ์มาตรฐาน CIS สำหรับ GCP
เนื่องจากบัญชีบริการใช้ในการให้ บริการใน GCP ความสามารถในการเรียกใช้ API ที่ได้รับอนุญาต ค่าเริ่มต้นในการสร้างมักถูกใช้ในทางที่ผิด บัญชีบริการอนุญาตให้ผู้ใช้รายอื่นหรือบัญชีบริการอื่นแอบอ้างได้ สิ่งสำคัญคือต้องเข้าใจบริบทที่ลึกซึ้งยิ่งขึ้นของข้อกังวล ซึ่งอาจเข้าถึงได้อย่างเต็มที่ในสภาพแวดล้อมของคุณ ซึ่งอาจอยู่รอบๆ การตั้งค่าเริ่มต้นเหล่านี้. กล่าวอีกนัยหนึ่ง ในคลาวด์ การกำหนดค่าผิดๆ ง่ายๆ อาจมีรัศมีการระเบิดมากกว่าที่เห็น เส้นทางการโจมตีบนคลาวด์สามารถเริ่มต้นที่การกำหนดค่าผิด แต่สิ้นสุดที่ข้อมูลที่ละเอียดอ่อนของคุณผ่านการยกระดับสิทธิ์ การเคลื่อนไหวด้านข้าง และการแอบแฝง สิทธิ์ที่มีประสิทธิภาพ.
บัญชีบริการเริ่มต้นที่จัดการโดยผู้ใช้ทั้งหมด (แต่ไม่ได้สร้างโดยผู้ใช้) มีบทบาท Editor เพื่อรองรับบริการใน GCP ที่เสนอ การแก้ไขไม่จำเป็นต้องเป็นการลบบทบาท Editor ง่ายๆ เนื่องจากการทำเช่นนั้นอาจทำให้ฟังก์ชันการทำงานของบริการเสียหายได้ นี่คือจุดที่ความเข้าใจอย่างลึกซึ้งเกี่ยวกับสิทธิ์กลายเป็นสิ่งสำคัญ เพราะคุณต้องทราบอย่างแน่ชัดว่าบัญชีบริการกำลังใช้หรือไม่ได้ใช้สิทธิ์ใด และเมื่อเวลาผ่านไป เนื่องจากความเสี่ยงที่ข้อมูลระบุตัวตนแบบเป็นโปรแกรมอาจถูกนำไปใช้ในทางที่ผิดได้ง่ายกว่า การใช้ประโยชน์จากแพลตฟอร์มความปลอดภัยเพื่อรับสิทธิพิเศษเป็นอย่างน้อยจึงมีความสำคัญ
แม้ว่านี่จะเป็นเพียงตัวอย่างเล็กๆ น้อยๆ ภายในระบบคลาวด์หลัก ฉันหวังว่านี่จะเป็นแรงบันดาลใจให้คุณพิจารณาการควบคุมและการกำหนดค่าของคุณอย่างใกล้ชิด ผู้ให้บริการคลาวด์ไม่สมบูรณ์แบบ พวกเขาไวต่อข้อผิดพลาดของมนุษย์ ช่องโหว่ และช่องว่างด้านความปลอดภัย เช่นเดียวกับพวกเราที่เหลือ และในขณะที่ผู้ให้บริการระบบคลาวด์นำเสนอโครงสร้างพื้นฐานที่ปลอดภัยเป็นพิเศษ สิ่งที่ดีที่สุดเสมอคือพยายามให้มากขึ้นและอย่าชะล่าใจในสุขอนามัยด้านความปลอดภัยของคุณ บ่อยครั้งที่การตั้งค่าเริ่มต้นทำให้เกิดจุดบอด และการได้รับความปลอดภัยที่แท้จริงต้องใช้ความพยายามและการบำรุงรักษา
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- ความสามารถ
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- การบรรลุ
- อย่างกระตือรือร้น
- ที่อยู่
- ผู้ดูแลระบบ
- ทั้งหมด
- การอนุญาต
- เสมอ
- อเมซอน
- การวิเคราะห์
- และ
- อื่น
- API
- การใช้งาน
- การใช้งาน
- ปพลิเคชัน
- ที่ได้รับมอบหมาย
- โจมตี
- ใช้ได้
- AWS
- สีฟ้า
- เพราะ
- จะกลายเป็น
- กำลัง
- มาตรฐาน
- ที่ดีที่สุด
- ปิดกั้น
- ที่ถูกบล็อก
- ทำลาย
- built-in
- ที่เรียกว่า
- โทร
- สามารถรับ
- ศูนย์
- ตรวจสอบ
- CIS
- ชัดเจน
- ปิดหน้านี้
- เมฆ
- แพลตฟอร์มคลาวด์
- Cluster
- รหัส
- COM
- อย่างไร
- กังวล
- ความกังวลเกี่ยวกับ
- องค์ประกอบ
- สับสน
- ความสับสน
- เชื่อมต่อ
- การเชื่อมต่อ
- การเชื่อมต่อ
- พิจารณา
- สิ่งแวดล้อม
- ควบคุม
- การควบคุม
- ได้
- คู่
- การสร้าง
- สี่แยก
- ลูกค้า
- ลูกค้า
- อันตราย
- ข้อมูล
- ศูนย์ข้อมูล
- การประมวลผล
- ฐานข้อมูล
- ฐานข้อมูล
- ลึก
- ลึก
- ค่าเริ่มต้น
- ค่าเริ่มต้น
- การกำหนด
- ต่าง
- การทำ
- บรรณาธิการ
- ความพยายาม
- เปิดการใช้งาน
- ทำให้มั่นใจ
- สิ่งแวดล้อม
- ความผิดพลาด
- แม้
- เผง
- ตัวอย่าง
- การปฏิบัติ
- พิเศษ
- ตา
- ลักษณะ
- สองสาม
- หา
- ไฟร์วอลล์
- แก้ไขปัญหา
- กรอบ
- กรอบ
- มัก
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ฟังก์ชั่น
- ได้รับ
- จะช่วยให้
- Go
- มากขึ้น
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ความหวัง
- อย่างไรก็ตาม
- HTTPS
- เป็นมนุษย์
- ความคิด
- เอกลักษณ์
- การจัดการข้อมูลประจำตัว
- สำคัญ
- in
- โครงสร้างพื้นฐาน
- การโต้ตอบ
- อินเทอร์เน็ต
- IP
- ที่อยู่ IP
- ปัญหา
- IT
- ทราบ
- ที่รู้จักกัน
- การเรียนรู้
- ทิ้ง
- ชั้น
- การใช้ประโยชน์
- ลินุกซ์
- รายการ
- ดู
- ที่ต้องการหา
- Lot
- เครื่อง
- เรียนรู้เครื่อง
- หลัก
- การบำรุงรักษา
- สำคัญ
- ทำ
- การทำ
- การจัดการ
- การจัดการ
- มีคุณสมบัติตรงตาม
- อาจ
- ใจ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- จำเป็นต้อง
- ความต้องการ
- ใหม่
- เสนอ
- เสนอ
- ONE
- เปิด
- โอเพนซอร์ส
- ตัวเลือกเสริม (Option)
- Options
- organizacja
- อื่นๆ
- ของตนเอง
- รหัสผ่าน
- เส้นทาง
- คน
- สมบูรณ์
- สิทธิ์
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- นโยบาย
- ที่อาจเกิดขึ้น
- ที่มีประสิทธิภาพ
- ความดัน
- การประมวลผล
- การเขียนโปรแกรม
- ผู้ให้บริการ
- สาธารณะ
- วาง
- แนะนำ
- ลด
- รีโมท
- การกำจัด
- ทรัพยากร
- แหล่งข้อมูล
- REST
- ส่งผลให้
- ทบทวน
- ความเสี่ยง
- บทบาท
- กฎระเบียบ
- ปลอดภัย
- ความปลอดภัย
- มีความละเอียดอ่อน
- บริการ
- ผู้ให้บริการ
- บริการ
- ชุดอุปกรณ์
- การตั้งค่า
- การตั้งค่า
- น่า
- ง่าย
- So
- ทางออก
- บาง
- บางสิ่งบางอย่าง
- แหล่ง
- เริ่มต้น
- ที่เริ่มต้น
- สถานะ
- ส่ง
- สนับสนุน
- พื้นผิว
- ที่ล้อมรอบ
- ฉลาด
- ระบบ
- เอา
- ใช้เวลา
- การพูดคุย
- พื้นที่
- สิ่ง
- สิ่ง
- ตลอด
- เวลา
- ไปยัง
- โอน
- จริง
- พื้นฐาน
- เข้าใจ
- ความเข้าใจ
- us
- การใช้งาน
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ใช้ประโยชน์
- ผู้ขาย
- จำเป็น
- ช่องโหว่
- เว็บ
- บริการเว็บ
- อะไร
- ว่า
- ที่
- ในขณะที่
- จะ
- ภายใน
- คำ
- งาน
- คุณ
- ของคุณ
- ลมทะเล