Varsayılan Bulut Yapılandırmalarının Tehlikeleri



Bulut bağlamında “varsayılan ayarlar” ifadesini duyduğunuzda, aklınıza birkaç şey gelebilir: yeni bir uygulama, genel bir AWS S3 klasörü veya varsayılan kullanıcı erişimi ayarlarken varsayılan yönetici parolaları. Satıcılar ve sağlayıcılar genellikle müşteri kullanılabilirliğini ve kolaylığını güvenlikten daha önemli kabul eder ve bu da varsayılan ayarlarla sonuçlanır. Bir şeyin açıklığa kavuşturulması gerekir: Bir ayarın veya kontrolün varsayılan olması, onun tavsiye edildiği veya güvenli olduğu anlamına gelmez.

Aşağıda, kuruluşunuzu risk altında bırakabilecek bazı varsayılan örnek örnekleri inceleyeceğiz.

gök mavisi

Azure SQL Veritabanları, Azure SQL Yönetilen Örneklerinden farklı olarak, sunucu veya veritabanı düzeyinde bağlantıya izin verecek şekilde yapılandırılabilen yerleşik bir güvenlik duvarına sahiptir. Bu, kullanıcılara doğru şeylerin konuşulmasını sağlamak için birçok seçenek sunar.

Azure içindeki uygulamaların bir Azure SQL Veritabanına bağlanması için, sunucuda başlangıç ​​ve bitiş IP adreslerini 0.0.0.0 olarak ayarlayan bir “Azure Hizmetlerine İzin Ver” ayarı vardır. “AllowAllWindowsAzureIps” olarak adlandırılan, zararsız gibi görünse de bu seçenek, Azure SQL Veritabanı güvenlik duvarını yalnızca Azure yapılandırmanızdan değil, aynı zamanda Azure yapılandırmanızdan tüm bağlantılara izin verecek şekilde yapılandırdı. hiç Azure yapılandırmaları. Bu özelliği kullanarak, diğer müşterilerden gelen bağlantılara izin vermek için veritabanınızı açarak oturum açma ve kimlik yönetimi üzerinde daha fazla baskı oluşturursunuz.

Unutulmaması gereken bir nokta, Azure SQL Veritabanı’na izin verilen herhangi bir genel IP adresi olup olmadığıdır. Bunu yapmak alışılmadık bir durumdur ve varsayılanı kullanabilseniz de bu kullanmanız gerektiği anlamına gelmez. Bir SQL sunucusu için saldırı yüzeyini azaltmak isteyeceksiniz — bunu yapmanın bir yolu, parçalı IP adresleriyle güvenlik duvarı kuralları tanımlamaktır. Hem veri merkezlerinden hem de diğer kaynaklardan kullanılabilir adreslerin tam listesini tanımlayın.

Amazon Web Hizmetleri (AWS)

EMR Amazon’dan bir büyük veri çözümüdür. Açık kaynak çerçeveleri kullanarak veri işleme, etkileşimli analitik ve makine öğrenimi sunar. Yet Another Resource Negotiator (YARN), EMR’nin kullandığı Hadoop çerçevesi için bir ön koşuldur. Endişe, EMR’nin ana sunucusundaki YARN’ın, uzak kullanıcıların kümeye yeni uygulamalar göndermesine olanak tanıyan bir temsili durum aktarım API’sini açığa çıkarmasıdır. AWS’deki güvenlik kontrolleri burada varsayılan olarak etkin değildir.

Bu, birkaç farklı kavşakta bulunduğu için fark edilmeyebilecek varsayılan bir yapılandırmadır. Bu sorun, İnternet’e açık açık bağlantı noktaları ararken kendi ilkelerimizde bulduğumuz bir sorundur, ancak bu bir platform olduğu için müşterilerin EMR’yi çalıştıran altta yatan bir EC2 altyapısı olduğu konusunda kafası karışabilir. Ayrıca, yapılandırmayı kontrol etmeye gittiklerindeEMR yapılandırmasında “genel erişimi engelle” ayarının etkinleştirilmiş olduğunu gördüklerinde kafa karışıklığı oluşabilir. Bu varsayılan ayar etkinleştirildiğinde bile EMR, uzaktan kod yürütme için kullanılabilen 22 ve 8088 numaralı bağlantı noktalarını kullanıma sunar. Bu, bir hizmet kontrol ilkesi (SCP), erişim kontrol listesi veya ana bilgisayardaki güvenlik duvarı (örn. Linux IPTable’lar) tarafından engellenmiyorsa, İnternet’teki bilinen tarayıcılar aktif olarak bu varsayılanları arar.

Google Bulut Platformu (GCP)

GCP, kimliğin bulutun yeni çevresi olduğu fikrini somutlaştırır. Güçlü ve ayrıntılı bir izin sistemi kullanır. Ancak, insanları en çok etkileyen yaygın sorun Hizmet Hesapları ile ilgilidir. Bu sorun, GCP için CIS Karşılaştırmalarında yer almaktadır.

Çünkü Hizmet Hesapları vermek için kullanılır. GCP’deki hizmetler yetkili API çağrıları yapma yeteneği, oluşturmadaki varsayılanlar sıklıkla kötüye kullanılır. Hizmet Hesapları, diğer Kullanıcıların veya diğer Hizmet Hesaplarının onun kimliğine bürünmesine izin verir. Bu varsayılan ayarları çevreleyen, ortamınıza tamamen sınırsız erişim olabilecek daha derin endişe bağlamını anlamak önemlidir.. Başka bir deyişle, bulutta basit bir yanlış yapılandırma, göze görünenden daha büyük bir patlama yarıçapına sahip olabilir. Bir bulut saldırısı yolu, yanlış bir yapılandırmada başlayabilir, ancak ayrıcalık yükseltmeleri, yanal hareket ve gizli bilgiler aracılığıyla hassas verilerinizde sona erebilir. etkili izinler

Kullanıcı tarafından yönetilen (ancak kullanıcı tarafından oluşturulmayan) tüm varsayılan Hizmet Hesaplarına, sundukları GCP’deki hizmetleri desteklemek için Düzenleyici rolü atanmıştır. Düzeltme, Düzenleyici rolünün basit bir şekilde kaldırılması anlamına gelmez, aksi takdirde hizmetin işlevselliği bozulabilir. Hizmet Hesabının tam olarak hangi izinleri kullanıp kullanmadığını ve zaman içinde bilmeniz gerektiğinden, izinlerin derinlemesine anlaşılmasının önem kazandığı yer burasıdır. Programatik bir kimliğin potansiyel olarak kötüye kullanıma daha açık olma riski nedeniyle, en azından ayrıcalık elde etmek için bir güvenlik platformundan yararlanmak hayati önem taşır.

Bunlar ana bulutlardan sadece birkaç örnek olsa da, umarım bu, kontrollerinize ve yapılandırmalarınıza yakından bakmanız için size ilham verir. Bulut sağlayıcıları mükemmel değildir. Tıpkı bizim gibi insan hatasına, güvenlik açıklarına ve güvenlik açıklarına karşı hassastırlar. Ve bulut hizmeti sağlayıcıları son derece güvenli bir altyapı sunarken, ekstra yol kat etmek ve güvenlik hijyeniniz konusunda asla kayıtsız kalmamak her zaman en iyisidir. Çoğu zaman, varsayılan bir ayar kör noktalar bırakır ve gerçek güvenliğe ulaşmak çaba ve bakım gerektirir.



Source link