Bulut bağlamında "varsayılan ayarlar" ifadesini duyduğunuzda, aklınıza birkaç şey gelebilir: yeni bir uygulama, genel bir AWS S3 klasörü veya varsayılan kullanıcı erişimi ayarlarken kullanılan varsayılan yönetici parolaları. Satıcılar ve sağlayıcılar genellikle müşteri kullanılabilirliğini ve kolaylığını güvenlikten daha önemli kabul eder ve bu da varsayılan ayarlarla sonuçlanır. Bir şeyin açıklığa kavuşturulması gerekir: Bir ayarın veya kontrolün varsayılan olması, onun tavsiye edildiği veya güvenli olduğu anlamına gelmez.
Aşağıda, kuruluşunuzu risk altında bırakabilecek bazı varsayılan örnek örnekleri inceleyeceğiz.
masmavi
Azure SQL Veritabanları, Azure SQL Yönetilen Örneklerinden farklı olarak, sunucu veya veritabanı düzeyinde bağlantıya izin verecek şekilde yapılandırılabilen yerleşik bir güvenlik duvarına sahiptir. Bu, kullanıcılara doğru şeylerin konuşulmasını sağlamak için birçok seçenek sunar.
Azure içindeki uygulamaların bir Azure SQL Veritabanına bağlanması için, sunucuda başlangıç ve bitiş IP adreslerini 0.0.0.0 olarak ayarlayan bir "Azure Hizmetlerine İzin Ver" ayarı vardır. "AllowAllWindowsAzureIps" olarak adlandırılan bu, zararsız gibi görünse de bu seçenek, Azure SQL Veritabanı güvenlik duvarını yalnızca Azure yapılandırmanızdan değil, aynı zamanda Azure yapılandırmanızdan tüm bağlantılara izin verecek şekilde yapılandırdı. herhangi Azure yapılandırmaları. Bu özelliği kullanarak, diğer müşterilerden gelen bağlantılara izin vermek için veritabanınızı açarak oturum açma ve kimlik yönetimi üzerinde daha fazla baskı oluşturursunuz.
Unutulmaması gereken bir nokta, Azure SQL Veritabanı'na izin verilen herhangi bir genel IP adresi olup olmadığıdır. Bunu yapmak alışılmadık bir durumdur ve varsayılanı kullanabilseniz de bu kullanmanız gerektiği anlamına gelmez. Bir SQL sunucusu için saldırı yüzeyini azaltmak isteyeceksiniz — bunu yapmanın bir yolu, parçalı IP adresleriyle güvenlik duvarı kuralları tanımlamaktır. Hem veri merkezlerinden hem de diğer kaynaklardan kullanılabilir adreslerin tam listesini tanımlayın.
Amazon Web Services (AWS)
EMR Amazon'dan bir büyük veri çözümüdür. Açık kaynak çerçeveleri kullanarak veri işleme, etkileşimli analitik ve makine öğrenimi sunar. Yet Another Resource Negotiator (YARN), EMR'nin kullandığı Hadoop çerçevesi için bir ön koşuldur. Endişe, EMR'nin ana sunucusundaki YARN'ın, uzak kullanıcıların kümeye yeni uygulamalar göndermesine olanak tanıyan bir temsili durum aktarım API'sini açığa çıkarmasıdır. AWS'deki güvenlik kontrolleri burada varsayılan olarak etkin değildir.
Bu, birkaç farklı kavşakta bulunduğu için fark edilmeyebilecek varsayılan bir yapılandırmadır. Bu sorun, İnternet'e açık açık bağlantı noktaları ararken kendi ilkelerimizde bulduğumuz bir sorundur, ancak bu bir platform olduğu için müşterilerin EMR'yi çalıştıran altta yatan bir EC2 altyapısı olduğu konusunda kafası karışabilir. Ayrıca, yapılandırmayı kontrol etmeye gittiklerindeEMR yapılandırmasında "genel erişimi engelle" ayarının etkinleştirilmiş olduğunu gördüklerinde kafa karışıklığı oluşabilir. Bu varsayılan ayar etkinleştirildiğinde bile EMR, uzaktan kod yürütme için kullanılabilen 22 ve 8088 numaralı bağlantı noktalarını kullanıma sunar. Bu, bir hizmet kontrol ilkesi (SCP), erişim kontrol listesi veya ana bilgisayardaki güvenlik duvarı (örn. Linux IPTable'lar) tarafından engellenmiyorsa, İnternet'teki bilinen tarayıcılar aktif olarak bu varsayılanları arar.
Google Cloud Platformu (GCP)
GCP, kimliğin bulutun yeni çevresi olduğu fikrini somutlaştırır. Güçlü ve ayrıntılı bir izin sistemi kullanır. Ancak, insanları en çok etkileyen yaygın sorun Hizmet Hesapları ile ilgilidir. Bu sorun, GCP için CIS Karşılaştırmalarında yer almaktadır.
Çünkü Hizmet Hesapları vermek için kullanılır. GCP'deki hizmetler yetkili API çağrıları yapma yeteneği, oluşturmadaki varsayılanlar sıklıkla kötüye kullanılır. Hizmet Hesapları, diğer Kullanıcıların veya diğer Hizmet Hesaplarının onun kimliğine bürünmesine izin verir. Bu varsayılan ayarları çevreleyen, ortamınıza tamamen sınırsız erişim olabilecek daha derin endişe bağlamını anlamak önemlidir.. Başka bir deyişle, bulutta basit bir yanlış yapılandırma, göze görünenden daha büyük bir patlama yarıçapına sahip olabilir. Bir bulut saldırısı yolu, yanlış bir yapılandırmada başlayabilir, ancak ayrıcalık yükseltmeleri, yanal hareket ve gizli bilgiler aracılığıyla hassas verilerinizde sona erebilir. etkili izinler.
Kullanıcı tarafından yönetilen (ancak kullanıcı tarafından oluşturulmayan) tüm varsayılan Hizmet Hesaplarına, sundukları GCP'deki hizmetleri desteklemek için Düzenleyici rolü atanmıştır. Düzeltme, Düzenleyici rolünün basit bir şekilde kaldırılması anlamına gelmez, aksi takdirde hizmetin işlevselliği bozulabilir. Hizmet Hesabının tam olarak hangi izinleri kullanıp kullanmadığını ve zaman içinde bilmeniz gerektiğinden, izinlerin derinlemesine anlaşılmasının önem kazandığı yer burasıdır. Programatik bir kimliğin potansiyel olarak kötüye kullanıma daha açık olma riski nedeniyle, en azından ayrıcalık elde etmek için bir güvenlik platformundan yararlanmak hayati önem taşır.
Bunlar ana bulutlardan sadece birkaç örnek olsa da, umarım bu, kontrollerinize ve yapılandırmalarınıza yakından bakmanız için size ilham verir. Bulut sağlayıcıları mükemmel değildir. Tıpkı bizim gibi insan hatasına, güvenlik açıklarına ve güvenlik açıklarına karşı hassastırlar. Ve bulut hizmeti sağlayıcıları son derece güvenli bir altyapı sunarken, ekstra yol kat etmek ve güvenlik hijyeniniz konusunda asla kayıtsız kalmamak her zaman en iyisidir. Çoğu zaman, varsayılan bir ayar kör noktalar bırakır ve gerçek güvenliğe ulaşmak çaba ve bakım gerektirir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- kabiliyet
- erişim
- Hesap
- Hesaplar
- elde
- aktif
- adresleri
- Gizem
- Türkiye
- Izin
- her zaman
- Amazon
- analytics
- ve
- Başka
- api
- Uygulama
- uygulamaları
- uygulamalar
- atanmış
- saldırı
- mevcut
- AWS
- masmavi
- Çünkü
- olur
- olmak
- kriterler
- İYİ
- Engellemek
- tıkalı
- mola
- yerleşik
- denilen
- aramalar
- Alabilirsin
- Merkezleri
- Kontrol
- BDT
- açık
- Kapanış
- bulut
- Bulut Platformu
- Küme
- kod
- COM
- nasıl
- İlgilendirmek
- Endişeler
- yapılandırma
- karışık
- karışıklık
- Sosyal medya
- Bağlantılar
- Bağlantı
- Düşünmek
- bağlam
- kontrol
- kontroller
- olabilir
- Çift
- oluşturma
- Kavşak
- müşteri
- Müşteriler
- tehlikeleri
- veri
- veri merkezleri
- veri işleme
- veritabanı
- veritabanları
- derin
- derin
- Varsayılan
- varsayılan
- tanımlarken
- farklı
- yapıyor
- editör
- çaba
- etkin
- sağlamak
- çevre
- hata
- Hatta
- kesinlikle
- örnekler
- infaz
- ekstra
- göz
- Özellikler(Hazırlık aşamasında)
- az
- bulmak
- güvenlik duvarı
- sabit
- iskelet
- çerçeveler
- sık sık
- itibaren
- tamamen
- işlevsellik
- almak
- verir
- Go
- büyük
- okuyun
- umut
- Ancak
- HTTPS
- insan
- Fikir
- Kimlik
- kimlik yönetimi
- önemli
- in
- Altyapı
- interaktif
- Internet
- IP
- IP adresleri
- konu
- IT
- Bilmek
- bilinen
- öğrenme
- Ayrılmak
- seviye
- kaldıraç
- linux
- Liste
- Bakın
- bakıyor
- Çok
- makine
- makine öğrenme
- Ana
- bakım
- büyük
- yapmak
- Yapımı
- yönetilen
- yönetim
- Toplandı
- olabilir
- akla
- Daha
- çoğu
- hareket
- zorunlu olarak
- ihtiyaçlar
- yeni
- teklif
- Teklifler
- ONE
- açık
- açık kaynak
- seçenek
- Opsiyonlar
- kuruluşlar
- Diğer
- kendi
- şifreleri
- yol
- İnsanlar
- MÜKEMMEL OLAN YERİ BULUN
- izinleri
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- politikaları
- politika
- potansiyel
- güçlü
- basınç
- işleme
- program niteliğinde
- sağlayıcılar
- halka açık
- koymak
- Tavsiye edilen
- azaltmak
- uzak
- giderme
- kaynak
- Kaynaklar
- DİNLENME
- Ortaya çıkan
- yorum
- Risk
- Rol
- kurallar
- güvenli
- güvenlik
- hassas
- hizmet
- Servis sağlayıcıları
- Hizmetler
- Setleri
- ayar
- ayarlar
- meli
- Basit
- So
- çözüm
- biraz
- bir şey
- Kaynak
- başlama
- XNUMX dakika içinde!
- Eyalet
- sunmak
- destek
- yüzey
- çevreleyen
- eğilimli
- sistem
- Bizi daha iyi tanımak için
- alır
- konuşma
- The
- şey
- işler
- İçinden
- zaman
- için
- transfer
- gerçek
- altında yatan
- anlamak
- anlayış
- us
- KULLANILABİLİRLİK
- kullanım
- kullanıcı
- kullanıcılar
- kullanır
- satıcıları
- hayati
- güvenlik açıkları
- ağ
- web hizmetleri
- Ne
- olup olmadığını
- hangi
- süre
- irade
- içinde
- sözler
- İş
- Sen
- zefirnet