Khi bạn nghe thấy “cài đặt mặc định” trong ngữ cảnh của đám mây, bạn có thể nghĩ đến một số điều sau: mật khẩu quản trị viên mặc định khi thiết lập ứng dụng mới, bộ chứa AWS S3 công khai hoặc quyền truy cập mặc định của người dùng. Thông thường, các nhà cung cấp coi khả năng sử dụng của khách hàng và tính dễ dàng quan trọng hơn bảo mật, dẫn đến cài đặt mặc định. Cần làm rõ một điều: Chỉ vì cài đặt hoặc điều khiển là mặc định không có nghĩa là cài đặt hoặc điều khiển đó được khuyến nghị hoặc an toàn.
Dưới đây, chúng tôi sẽ xem xét một số ví dụ về các trường hợp mặc định có thể khiến tổ chức của bạn gặp rủi ro.
Azure
Cơ sở dữ liệu Azure SQL, không giống như Phiên bản được quản lý Azure SQL, có tường lửa tích hợp có thể được định cấu hình để cho phép kết nối ở cấp máy chủ hoặc cơ sở dữ liệu. Điều này cung cấp cho người dùng rất nhiều tùy chọn để đảm bảo những điều phù hợp đang được nói.
Đối với các ứng dụng bên trong Azure để kết nối với Cơ sở dữ liệu Azure SQL, có cài đặt “Cho phép dịch vụ Azure” trên máy chủ đặt địa chỉ IP bắt đầu và kết thúc thành 0.0.0.0. Được gọi là “AllowAllWindowsAzureIps”, nghe có vẻ vô hại nhưng tùy chọn này đã định cấu hình tường lửa Cơ sở dữ liệu Azure SQL để không chỉ cho phép tất cả các kết nối từ cấu hình Azure của bạn mà còn từ bất kì Cấu hình Azure. Bằng cách sử dụng tính năng này, bạn mở cơ sở dữ liệu của mình để cho phép kết nối từ các khách hàng khác, gây thêm áp lực cho việc đăng nhập và quản lý danh tính.
Một điều cần lưu ý là liệu có bất kỳ địa chỉ IP công cộng nào được phép sử dụng Cơ sở dữ liệu Azure SQL hay không. Làm như vậy là bất thường và mặc dù bạn có thể sử dụng mặc định nhưng điều đó không có nghĩa là bạn nên làm như vậy. Bạn sẽ muốn giảm bề mặt tấn công cho máy chủ SQL — một cách để thực hiện việc này là xác định các quy tắc tường lửa bằng các địa chỉ IP chi tiết. Xác định danh sách chính xác các địa chỉ có sẵn từ cả trung tâm dữ liệu và các tài nguyên khác.
Amazon Web Services (AWS)
EMR là một giải pháp dữ liệu lớn từ Amazon. Nó cung cấp khả năng xử lý dữ liệu, phân tích tương tác và học máy bằng cách sử dụng các khung mã nguồn mở. Yet Another Resource Negotiator (YARN) là điều kiện tiên quyết cho khung Hadoop mà EMR sử dụng. Điều đáng lo ngại là YARN trên máy chủ chính của EMR hiển thị API chuyển trạng thái đại diện, cho phép người dùng từ xa gửi ứng dụng mới tới cụm. Kiểm soát bảo mật trong AWS không được bật theo mặc định tại đây.
Đây là cấu hình mặc định có thể không được chú ý vì nó nằm ở một vài ngã tư khác nhau. Vấn đề này là vấn đề chúng tôi tìm thấy với các chính sách của riêng mình khi tìm kiếm các cổng mở kết nối với Internet, nhưng vì đây là một nền tảng nên khách hàng có thể nhầm lẫn rằng có một cơ sở hạ tầng EC2 cơ bản giúp EMR hoạt động. Hơn nữa, khi họ đi kiểm tra cấu hìnhTuy nhiên, sự nhầm lẫn có thể xảy ra khi họ nhận thấy rằng trong cấu hình cho EMR, họ thấy cài đặt “chặn quyền truy cập công khai” được bật. Ngay cả khi cài đặt mặc định này được bật, EMR vẫn hiển thị cổng 22 và 8088, có thể được sử dụng để thực thi mã từ xa. Nếu điều này không bị chặn bởi chính sách kiểm soát dịch vụ (SCP), danh sách kiểm soát truy cập hoặc tường lửa trên máy chủ (ví dụ: Linux IPTables), thì các máy quét đã biết trên Internet đang tích cực tìm kiếm các giá trị mặc định này.
Nền tảng đám mây của Google (GCP)
GCP thể hiện ý tưởng về danh tính là vành đai mới của đám mây. Nó sử dụng một hệ thống quyền mạnh mẽ và chi tiết. Tuy nhiên, một vấn đề phổ biến ảnh hưởng đến mọi người nhiều nhất liên quan đến Tài khoản dịch vụ. Vấn đề này nằm trong Điểm chuẩn CIS cho GCP.
Bởi vì Tài khoản Dịch vụ được sử dụng để cung cấp dịch vụ trong GCP khả năng thực hiện các cuộc gọi API được ủy quyền, các giá trị mặc định trong quá trình tạo thường bị lạm dụng. Tài khoản Dịch vụ cho phép Người dùng khác hoặc Tài khoản Dịch vụ khác mạo danh nó. Điều quan trọng là phải hiểu bối cảnh quan tâm sâu hơn, có thể là quyền truy cập hoàn toàn không bị cản trở trong môi trường của bạn, có thể bao quanh các cài đặt mặc định này. Nói cách khác, trong đám mây, một cấu hình sai đơn giản có thể tạo ra bán kính vụ nổ lớn hơn những gì nhìn thấy được. Đường dẫn tấn công trên đám mây có thể bắt đầu do cấu hình sai, nhưng kết thúc ở dữ liệu nhạy cảm của bạn thông qua leo thang đặc quyền, di chuyển ngang và bí mật quyền hiệu quả.
Tất cả Tài khoản dịch vụ mặc định do người dùng quản lý (nhưng không phải do người dùng tạo) đều được chỉ định vai trò Trình chỉnh sửa để hỗ trợ các dịch vụ trong GCP mà họ cung cấp. Cách khắc phục không nhất thiết chỉ là xóa vai trò Trình chỉnh sửa, vì làm như vậy có thể làm hỏng chức năng của dịch vụ. Đây là lúc việc hiểu sâu về các quyền trở nên quan trọng vì bạn phải biết chính xác những quyền mà Tài khoản dịch vụ đang sử dụng hoặc không sử dụng và theo thời gian. Do nguy cơ nhận dạng có lập trình dễ bị lạm dụng hơn nên việc tận dụng nền tảng bảo mật để có được ít nhất đặc quyền trở nên quan trọng.
Mặc dù đây chỉ là một vài ví dụ trong các đám mây chính, nhưng tôi hy vọng điều này sẽ truyền cảm hứng cho bạn xem xét kỹ các điều khiển và cấu hình của mình. Các nhà cung cấp đám mây không hoàn hảo. Họ dễ mắc phải lỗi của con người, lỗ hổng bảo mật và lỗ hổng bảo mật, giống như phần còn lại của chúng ta. Và mặc dù các nhà cung cấp dịch vụ đám mây cung cấp cơ sở hạ tầng cực kỳ an toàn, nhưng tốt nhất bạn nên nỗ lực hơn nữa và đừng bao giờ tự mãn trong việc đảm bảo an ninh của mình. Thông thường, cài đặt mặc định để lại các điểm mù và việc đạt được mức độ bảo mật thực sự cần nỗ lực và bảo trì.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- có khả năng
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- đạt được
- tích cực
- địa chỉ
- quản trị viên
- Tất cả
- Cho phép
- luôn luôn
- đàn bà gan dạ
- phân tích
- và
- Một
- api
- Các Ứng Dụng
- các ứng dụng
- ứng dụng
- giao
- tấn công
- có sẵn
- AWS
- Azure
- bởi vì
- trở thành
- được
- Điểm chuẩn
- BEST
- Chặn
- bị chặn
- Nghỉ giải lao
- được xây dựng trong
- gọi là
- Cuộc gọi
- Có thể có được
- Trung tâm
- kiểm tra
- CIS
- trong sáng
- Đóng
- đám mây
- Nền tảng đám mây
- cụm
- mã
- COM
- Đến
- Liên quan
- Mối quan tâm
- Cấu hình
- nhầm lẫn
- nhầm lẫn
- Kết nối
- Kết nối
- Kết nối
- Hãy xem xét
- bối cảnh
- điều khiển
- điều khiển
- có thể
- Couple
- tạo
- Nga tư
- khách hàng
- khách hàng
- nguy hiểm
- dữ liệu
- các trung tâm dữ liệu
- xử lý dữ liệu
- Cơ sở dữ liệu
- cơ sở dữ liệu
- sâu
- sâu sắc hơn
- Mặc định
- mặc định
- xác định
- khác nhau
- làm
- biên tập viên
- nỗ lực
- kích hoạt
- đảm bảo
- Môi trường
- lôi
- Ngay cả
- chính xác
- ví dụ
- thực hiện
- thêm
- mắt
- Đặc tính
- vài
- Tìm kiếm
- tường lửa
- Sửa chữa
- Khung
- khung
- thường xuyên
- từ
- đầy đủ
- chức năng
- được
- cho
- Go
- lớn hơn
- tại đây
- mong
- Tuy nhiên
- HTTPS
- Nhân loại
- ý tưởng
- Bản sắc
- quản lý danh tính
- quan trọng
- in
- Cơ sở hạ tầng
- tương tác
- Internet
- IP
- Địa chỉ IP
- vấn đề
- IT
- Biết
- nổi tiếng
- học tập
- Rời bỏ
- Cấp
- tận dụng
- linux
- Danh sách
- Xem
- tìm kiếm
- Rất nhiều
- máy
- học máy
- Chủ yếu
- bảo trì
- chính
- làm cho
- Làm
- quản lý
- quản lý
- Đạt
- Might
- tâm
- chi tiết
- hầu hết
- phong trào
- nhất thiết
- nhu cầu
- Mới
- cung cấp
- Cung cấp
- ONE
- mở
- mã nguồn mở
- Tùy chọn
- Các lựa chọn
- cơ quan
- Nền tảng khác
- riêng
- Mật khẩu
- con đường
- người
- hoàn hảo
- quyền
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Chính sách
- điều luật
- có khả năng
- mạnh mẽ
- áp lực
- xử lý
- lập trình
- nhà cung cấp
- công khai
- Đặt
- đề nghị
- giảm
- xa
- loại bỏ
- tài nguyên
- Thông tin
- REST của
- kết quả
- xem xét
- Nguy cơ
- Vai trò
- quy tắc
- an toàn
- an ninh
- nhạy cảm
- dịch vụ
- các nhà cung cấp dịch vụ
- DỊCH VỤ
- bộ
- thiết lập
- thiết lập
- nên
- Đơn giản
- So
- giải pháp
- một số
- một cái gì đó
- nguồn
- Bắt đầu
- Bắt đầu
- Tiểu bang
- trình
- hỗ trợ
- Bề mặt
- Xung quanh
- apt
- hệ thống
- Hãy
- mất
- nói
- Sản phẩm
- điều
- điều
- Thông qua
- thời gian
- đến
- chuyển
- đúng
- cơ bản
- hiểu
- sự hiểu biết
- us
- khả năng sử dụng
- sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- nhà cung cấp
- quan trọng
- Lỗ hổng
- web
- các dịch vụ web
- Điều gì
- liệu
- cái nào
- trong khi
- sẽ
- ở trong
- từ
- Công việc
- Bạn
- trên màn hình
- zephyrnet