当您在云环境中听到“默认设置”时,可能会想到一些事情:设置新应用程序时的默认管理员密码、公共 AWS S3 存储桶或默认用户访问权限。 通常,供应商和供应商认为客户的可用性和易用性比安全性更重要,从而导致默认设置。 有一件事需要明确:仅仅因为设置或控件是默认的并不意味着它是推荐的或安全的。
下面,我们将回顾一些可能使您的组织面临风险的默认设置示例。
Azure
与 Azure SQL 托管实例不同,Azure SQL 数据库具有内置防火墙,可以配置为允许在服务器或数据库级别进行连接。 这为用户提供了很多选择,以确保谈论正确的事情。
对于 Azure 中连接到 Azure SQL 数据库的应用程序,服务器上有一个“允许 Azure 服务”设置,将起始和结束 IP 地址设置为 0.0.0.0。 称为“AllowAllWindowsAzureIps”,听起来无害,但此选项将 Azure SQL 数据库防火墙配置为不仅允许来自 Azure 配置的所有连接,还允许来自 任何 Azure 配置。 通过使用此功能,您可以打开数据库以允许来自其他客户的连接,从而给登录和身份管理带来更多压力。
需要注意的一件事是 Azure SQL 数据库是否允许任何公共 IP 地址。 这样做并不常见,虽然您可以使用默认值,但这并不意味着您应该这样做。 您会希望减少 SQL 服务器的攻击面 — 一种方法是通过使用精细 IP 地址定义防火墙规则。 定义来自数据中心和其他资源的可用地址的确切列表。
亚马逊网络服务(AWS)
电子病历 是亚马逊的大数据解决方案。 它使用开源框架提供数据处理、交互式分析和机器学习。 Yet Another Resource Negotiator (YARN) 是 EMR 使用的 Hadoop 框架的先决条件。 令人担忧的是,EMR 主服务器上的 YARN 公开了一个代表性的状态传输 API,允许远程用户向集群提交新应用程序。 此处默认不启用 AWS 中的安全控制。
这是一个默认配置,可能不会被注意到,因为它位于几个不同的十字路口。 这个问题是我们在寻找对 Internet 开放的开放端口的我们自己的政策中发现的,但因为它是一个平台,客户可能会感到困惑,因为有一个底层的 EC2 基础设施使 EMR 工作。 此外,当他们去检查配置时当他们注意到在 EMR 的配置中看到启用了“阻止公共访问”设置时,可能会感到困惑。 即使启用了此默认设置,EMR 也会公开可用于远程代码执行的端口 22 和 8088。 如果这没有被服务控制策略 (SCP)、访问控制列表或主机防火墙(例如 Linux IPTables)阻止,则 Internet 上已知的扫描器会主动寻找这些默认值。
Google云端平台(GCP)
GCP 体现了身份是云的新边界的想法。 它利用了一个强大而精细的权限系统。 但是,对人们影响最大的一个普遍问题是服务帐户。 此问题存在于 GCP 的 CIS 基准中。
因为服务帐户用于提供 GCP 中的服务 进行授权 API 调用的能力,创建中的默认值经常被滥用。 服务帐户允许其他用户或其他服务帐户模拟它。 重要的是要了解更深层次的关注背景,这可能是您环境中完全不受限制的访问,可能围绕这些默认设置. 换句话说,在云中,一个简单的错误配置可能会产生比我们看到的更大的爆炸半径。 云攻击路径可以从错误配置开始,但通过特权升级、横向移动和隐蔽攻击以您的敏感数据结束 有效权限.
所有用户管理的(但不是用户创建的)默认服务帐户都分配有编辑者角色,以支持他们在 GCP 中提供的服务。 修复不一定是简单地删除 Editor 角色,因为这样做可能会破坏服务的功能。 这是对权限的深入理解变得重要的地方,因为您必须确切地知道服务帐户正在使用或未使用的权限,以及随着时间的推移。 由于编程身份可能更容易被滥用的风险,利用安全平台至少获得特权变得至关重要。
虽然这些只是主要云中的几个示例,但我希望这会激发您仔细研究您的控件和配置。 云提供商并不完美。 就像我们其他人一样,他们容易受到人为错误、漏洞和安全漏洞的影响。 尽管云服务提供商提供了非常安全的基础设施,但最好还是多走一步,永远不要在安全卫生方面沾沾自喜。 通常,默认设置会留下盲点,实现真正的安全需要付出努力和维护。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
- 7
- a
- 对,能力--
- ACCESS
- 账号管理
- 账户
- 实现
- 积极地
- 地址
- 管理员
- 所有类型
- 允许
- 时刻
- Amazon
- 分析
- 和
- 另一个
- API
- 应用领域
- 应用领域
- 应用
- 分配
- 攻击
- 可使用
- AWS
- Azure
- 因为
- 成为
- 作为
- 基准
- 最佳
- 阻止
- 封锁
- 午休
- 内建的
- 被称为
- 呼叫
- 可以得到
- 中心
- 查
- CIS
- 清除
- 关闭
- 云端技术
- 云计算平台
- 簇
- 码
- COM的
- 如何
- 关心
- 关注
- 配置
- 困惑
- 混乱
- 分享链接
- 连接
- 连接方式
- 考虑
- 上下文
- 控制
- 控制
- 可以
- 情侣
- 创建
- 十字路口
- 顾客
- 合作伙伴
- 危险
- data
- 数据中心
- 数据处理
- 数据库
- 数据库
- 深
- 更深
- 默认
- 默认
- 定义
- 不同
- 做
- 编辑
- 努力
- 启用
- 确保
- 环境
- 错误
- 甚至
- 究竟
- 例子
- 执行
- 额外
- 眼
- 专栏
- 少数
- 找到最适合您的地方
- 火墙
- 固定
- 骨架
- 框架
- 频繁
- 止
- 充分
- 功能
- 得到
- 给
- Go
- 谷歌
- 更大的
- 此处
- 抱有希望
- 但是
- HTTPS
- 人
- 主意
- 身分
- 身份管理
- 重要
- in
- 基础设施
- 互动
- 网络
- IP
- IP地址
- 问题
- IT
- 知道
- 已知
- 学习
- 离开
- Level
- 借力
- Linux的
- 清单
- 看
- 寻找
- 占地
- 机
- 机器学习
- 主要
- 保养
- 主要
- 使
- 制作
- 管理
- 颠覆性技术
- 会见
- 可能
- 介意
- 更多
- 最先进的
- 运动
- 一定
- 需要
- 全新
- 提供
- 优惠精选
- 一
- 打开
- 开放源码
- 附加选项
- 附加选项
- 组织
- 其他名称
- 己
- 密码
- 径
- 员工
- 权限
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 政策
- 可能
- 强大
- 压力
- 处理
- 程序化
- 供应商
- 国家
- 把
- 建议
- 减少
- 远程
- 切除
- 资源
- 资源
- REST的
- 导致
- 检讨
- 风险
- 角色
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 安全
- 保安
- 敏感
- 服务
- 服务供应商
- 特色服务
- 套数
- 设置
- 设置
- 应该
- 简易
- So
- 方案,
- 一些
- 东西
- 来源
- 开始
- 开始
- 州/领地
- 提交
- SUPPORT
- 磁化面
- 周围
- 易感
- 系统
- 采取
- 需要
- 说
- 事
- 事
- 通过
- 次
- 至
- 转让
- true
- 相关
- 理解
- 理解
- us
- 可用性
- 使用
- 用户
- 用户
- 利用
- 厂商
- 重要
- 漏洞
- 卷筒纸
- Web服务
- 什么是
- 是否
- 这
- 而
- 将
- 中
- 话
- 工作
- 完全
- 您一站式解决方案
- 和风网