Коли ви чуєте «налаштування за замовчуванням» у контексті хмари, на думку може прийти кілька речей: паролі адміністратора за замовчуванням під час налаштування нової програми, загальнодоступне відро AWS S3 або доступ користувача за замовчуванням. Часто постачальники та постачальники вважають зручність використання та простоту важливішими за безпеку, що призводить до налаштування за замовчуванням. Треба чітко уточнити одне: те, що параметр або елемент керування встановлено за умовчанням, не означає, що він рекомендований або безпечний.
Нижче ми розглянемо деякі приклади умовчань, які можуть поставити вашу організацію під загрозу.
Лазурний
Бази даних SQL Azure, на відміну від керованих екземплярів SQL Azure, мають вбудований брандмауер, який можна налаштувати для підключення на рівні сервера або бази даних. Це дає користувачам багато варіантів, щоб переконатися, що говорять правильні речі.
Щоб програми всередині Azure підключалися до бази даних SQL Azure, на сервері є параметр «Дозволити служби Azure», який встановлює початкову та кінцеву IP-адреси на 0.0.0.0. Під назвою «AllowAllWindowsAzureIps» це звучить нешкідливо, але цей параметр налаштував брандмауер бази даних SQL Azure не лише дозволяти всі з’єднання з вашої конфігурації Azure, а й будь-який Конфігурації Azure. Використовуючи цю функцію, ви відкриваєте свою базу даних, щоб дозволити з’єднання з іншими клієнтами, створюючи більший тиск на вхід і керування ідентифікацією.
Слід звернути увагу на те, чи доступні загальнодоступні IP-адреси для бази даних SQL Azure. Це незвично робити, і, хоча ви можете використовувати за замовчуванням, це не означає, що ви повинні. Ви захочете зменшити поверхню атаки для SQL-сервера — один із способів зробити це — визначити правила брандмауера з детальними IP-адресами. Визначте точний список доступних адрес як з центрів обробки даних, так і з інших ресурсів.
Веб-служби Amazon (AWS)
EMR це рішення Amazon для обробки великих даних. Він пропонує обробку даних, інтерактивну аналітику та машинне навчання за допомогою фреймворків з відкритим кодом. Yet Another Resource Negotiator (YARN) є необхідною умовою для структури Hadoop, яку використовує EMR. Занепокоєння полягає в тому, що YARN на головному сервері EMR надає API передачі репрезентативного стану, що дозволяє віддаленим користувачам надсилати нові програми в кластер. Елементи керування безпекою в AWS тут не ввімкнено за замовчуванням.
Це стандартна конфігурація, яку можна не помітити, оскільки вона розташована на кількох різних перехрестях. Цю проблему ми виявили в наших власних політиках, які шукають відкриті порти, відкриті для Інтернету, але оскільки це платформа, клієнти можуть заплутатися, що існує основна інфраструктура EC2, яка забезпечує роботу EMR. Крім того, коли вони йдуть перевіряти конфігУ разі, плутанина може виникнути, коли вони помітять, що в конфігурації для EMR вони бачать, що параметр «блокувати публічний доступ» увімкнено. Навіть якщо цей параметр за замовчуванням увімкнено, EMR відкриває порт 22 і 8088, які можна використовувати для віддаленого виконання коду. Якщо це не заблоковано політикою керування службами (SCP), списком керування доступом або брандмауером на хості (наприклад, Linux IPTables), відомі сканери в Інтернеті активно шукають ці параметри за замовчуванням.
Google Cloud Platform (GCP)
GCP втілює ідею ідентифікації як нового периметра хмари. Він використовує потужну та детальну систему дозволів. Однак одна поширена проблема, яка найбільше впливає на людей, стосується облікових записів служби. Ця проблема міститься в CIS Benchmarks для GCP.
Тому що сервісні облікові записи використовуються для надання послуги в GCP можливість здійснювати авторизовані виклики API, за замовчуванням у створенні часто зловживають. Облікові записи служби дозволяють іншим користувачам або іншим обліковим записам служби видавати себе за нього. Важливо розуміти глибший контекст занепокоєння, яким може бути повний необмежений доступ у вашому середовищі, який може бути пов’язаний із цими налаштуваннями за замовчуванням. Іншими словами, у хмарі проста неправильна конфігурація може мати більший радіус вибуху, ніж те, що здається на перший погляд. Шлях хмарної атаки може початися з неправильної конфігурації, але закінчитися вашими конфіденційними даними через ескалацію привілеїв, бічні переміщення та приховані діючі дозволи.
Усі облікові записи служб за замовчуванням, якими керують (але не створюють користувачі), мають роль редактора, призначену для підтримки послуг у GCP, які вони пропонують. Виправлення не обов’язково полягає в простому видаленні ролі редактора, оскільки це може порушити функціональність служби. Саме тут стає важливим глибоке розуміння дозволів, оскільки ви повинні точно знати, які дозволи обліковий запис служби використовує або не використовує, і з часом. Через ризик того, що програмна ідентифікація є потенційно більш сприйнятливою до неправильного використання, використання платформи безпеки для отримання принаймні привілеїв стає життєво важливим.
Хоча це лише кілька прикладів у основних хмарах, я сподіваюся, що це надихне вас уважно розглянути елементи керування та конфігурації. Хмарні постачальники не ідеальні. Вони вразливі до людських помилок, уразливостей і прогалин у безпеці, як і всі ми. І хоча постачальники хмарних послуг пропонують винятково безпечну інфраструктуру, завжди краще пройти додаткову милю й ніколи не заспокоюватись у своїй гігієні безпеки. Часто параметри за замовчуванням залишають сліпі плями, і досягнення справжньої безпеки вимагає зусиль і обслуговування.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- здатність
- доступ
- рахунки
- Рахунки
- досягнення
- активно
- адреси
- адмін
- ВСІ
- Дозволити
- завжди
- Amazon
- аналітика
- та
- Інший
- API
- додаток
- застосування
- додатка
- призначений
- атака
- доступний
- AWS
- Лазурний
- оскільки
- стає
- буття
- тести
- КРАЩЕ
- Блокувати
- блокований
- Перерва
- вбудований
- званий
- Виклики
- Може отримати
- Центри
- перевірка
- СНД
- ясно
- близько
- хмара
- Хмарна платформа
- кластер
- код
- COM
- Приходити
- Занепокоєння
- Турбота
- конфігурація
- спутаний
- замішання
- З'єднуватися
- Зв'язки
- зв'язок
- Вважати
- контекст
- контроль
- управління
- може
- Пара
- створення
- Перехрестя
- клієнт
- Клієнти
- Небезпеки
- дані
- центрів обробки даних
- обробка даних
- Database
- базами даних
- глибокий
- глибше
- дефолт
- за замовчуванням
- визначаючи
- різний
- справи
- редактор
- зусилля
- включений
- забезпечувати
- Навколишнє середовище
- помилка
- Навіть
- точно
- Приклади
- виконання
- додатково
- очей
- особливість
- кілька
- знайти
- брандмауер
- виправляти
- Рамки
- каркаси
- часто
- від
- повністю
- функціональність
- отримати
- дає
- Go
- великий
- тут
- надія
- Однак
- HTTPS
- людина
- ідея
- Особистість
- управління ідентифікацією
- важливо
- in
- Інфраструктура
- інтерактивний
- інтернет
- IP
- IP-адреси
- питання
- IT
- Знати
- відомий
- вивчення
- Залишати
- рівень
- використання
- Linux
- список
- подивитися
- шукати
- серія
- машина
- навчання за допомогою машини
- головний
- обслуговування
- основний
- зробити
- Робить
- вдалося
- управління
- відповідає
- може бути
- mind
- більше
- найбільш
- руху
- обов'язково
- потреби
- Нові
- пропонувати
- Пропозиції
- ONE
- відкрити
- з відкритим вихідним кодом
- варіант
- Опції
- організація
- Інше
- власний
- Паролі
- шлях
- Люди
- ідеальний
- Дозволи
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- політика
- потенційно
- потужний
- тиск
- обробка
- програмний
- провайдери
- громадськість
- Поклавши
- рекомендований
- зменшити
- віддалений
- видалення
- ресурс
- ресурси
- REST
- в результаті
- огляд
- Risk
- Роль
- Правила
- безпечний
- безпеку
- чутливий
- обслуговування
- постачальники послуг
- Послуги
- набори
- установка
- налаштування
- Повинен
- простий
- So
- рішення
- деякі
- що в сім'ї щось
- Source
- старт
- Починаючи
- стан
- представляти
- підтримка
- поверхню
- Навколо
- схильний
- система
- Приймати
- приймає
- говорити
- Команда
- річ
- речі
- через
- час
- до
- переклад
- правда
- що лежить в основі
- розуміти
- розуміння
- us
- юзабіліті
- використання
- користувач
- користувачі
- використовує
- постачальники
- життєво важливий
- Уразливості
- Web
- веб-сервіси
- Що
- Чи
- який
- в той час як
- волі
- в
- слова
- Work
- Ти
- вашу
- зефірнет