클라우드 맥락에서 "기본 설정"이라는 말을 들으면 새 애플리케이션을 설정할 때의 기본 관리자 암호, 퍼블릭 AWS S3 버킷 또는 기본 사용자 액세스와 같은 몇 가지 사항이 떠오를 수 있습니다. 종종 벤더와 제공업체는 보안보다 고객의 유용성과 편의성을 더 중요하게 생각하여 기본 설정을 사용합니다. 한 가지 분명한 점은 설정이나 컨트롤이 기본값이라고 해서 권장되거나 안전하다는 의미는 아니라는 것입니다.
아래에서는 조직을 위험에 빠뜨릴 수 있는 몇 가지 기본값의 예를 검토합니다.
하늘빛
Azure SQL Managed Instance와 달리 Azure SQL Database에는 서버 또는 데이터베이스 수준에서 연결을 허용하도록 구성할 수 있는 기본 제공 방화벽이 있습니다. 이것은 사용자에게 올바른 것이 말하고 있는지 확인하는 많은 옵션을 제공합니다.
Azure 내부의 애플리케이션이 Azure SQL Database에 연결하려면 서버에 시작 및 끝 IP 주소를 0.0.0.0으로 설정하는 "Azure 서비스 허용" 설정이 있습니다. "AllowAllWindowsAzureIps"라고 하는 이 옵션은 무해하게 들리지만 이 옵션은 Azure 구성의 모든 연결을 허용할 뿐만 아니라 Azure SQL Database 방화벽을 구성했습니다. 어떤 Azure 구성. 이 기능을 사용하면 다른 고객의 연결을 허용하도록 데이터베이스를 열어 로그인 및 ID 관리에 더 많은 부담을 줍니다.
한 가지 유의할 사항은 Azure SQL Database에 허용되는 공용 IP 주소가 있는지 여부입니다. 이렇게 하는 것은 일반적이지 않으며 기본값을 사용할 수 있지만 반드시 사용해야 한다는 의미는 아닙니다. SQL 서버의 공격 표면을 줄이고 싶을 것입니다. 이를 위한 한 가지 방법은 세분화된 IP 주소로 방화벽 규칙을 정의하는 것입니다. 데이터 센터와 기타 리소스 모두에서 사용 가능한 주소의 정확한 목록을 정의합니다.
Amazon Web Services (AWS)
EMR Amazon의 빅 데이터 솔루션입니다. 오픈 소스 프레임워크를 사용하여 데이터 처리, 대화형 분석 및 기계 학습을 제공합니다. YARN(Yet Another Resource Negotiator)은 EMR이 사용하는 Hadoop 프레임워크의 전제 조건입니다. 문제는 EMR의 주 서버에 있는 YARN이 표현 상태 전송 API를 노출하여 원격 사용자가 클러스터에 새 앱을 제출할 수 있다는 것입니다. 여기에서는 AWS의 보안 제어가 기본적으로 활성화되어 있지 않습니다.
이것은 몇 가지 다른 교차로에 있기 때문에 눈에 띄지 않을 수 있는 기본 구성입니다. 이 문제는 인터넷에 개방된 포트를 찾는 자체 정책에서 발견한 것이지만 플랫폼이기 때문에 고객은 EMR을 작동시키는 기본 EC2 인프라가 있다는 사실을 혼동할 수 있습니다. 또한 그들이 구성을 확인하러 갈 때일반적으로 EMR 구성에서 "공개 액세스 차단" 설정이 활성화되어 있음을 확인하면 혼란이 발생할 수 있습니다. 이 기본 설정이 활성화된 경우에도 EMR은 원격 코드 실행에 사용할 수 있는 포트 22 및 8088을 노출합니다. 서비스 제어 정책(SCP), 액세스 제어 목록 또는 온호스트 방화벽(예: Linux IPTables)에 의해 차단되지 않는 경우 인터넷의 알려진 스캐너는 이러한 기본값을 적극적으로 찾고 있습니다.
Google Cloud Platform (GCP)
GCP는 ID가 클라우드의 새로운 경계라는 개념을 구현합니다. 강력하고 세분화된 권한 시스템을 활용합니다. 그러나 사람들에게 가장 큰 영향을 미치는 만연한 문제는 서비스 계정과 관련이 있습니다. 이 문제는 GCP용 CIS 벤치마크에 있습니다.
서비스 계정은 제공하는 데 사용되기 때문에 GCP의 서비스 승인된 API 호출을 수행하는 기능, 생성 시 기본값이 자주 오용됩니다. 서비스 계정을 사용하면 다른 사용자 또는 다른 서비스 계정이 가장할 수 있습니다. 이러한 기본 설정을 둘러싸고 있을 수 있는 사용자 환경에서 완전히 자유로운 액세스일 수 있는 문제의 더 깊은 컨텍스트를 이해하는 것이 중요합니다.. 즉, 클라우드에서는 단순한 구성 오류가 눈에 보이는 것보다 더 큰 폭발 반경을 가질 수 있습니다. 클라우드 공격 경로는 잘못된 구성에서 시작할 수 있지만 권한 에스컬레이션, 측면 이동 및 은밀한 정보를 통해 민감한 데이터에서 끝납니다. 유효 권한.
모든 사용자 관리(사용자 생성은 아님) 기본 서비스 계정에는 제공하는 GCP의 서비스를 지원하기 위해 편집자 역할이 할당되어 있습니다. 이 수정 사항은 편집자 역할을 간단하게 제거하는 것이 아닙니다. 그렇게 하면 서비스 기능이 손상될 수 있기 때문입니다. 시간이 지남에 따라 서비스 계정이 사용하거나 사용하지 않는 권한을 정확히 알아야 하므로 권한에 대한 깊은 이해가 중요해집니다. 프로그래밍 방식의 ID는 잠재적으로 오용에 더 취약할 수 있으므로 최소한의 권한을 얻기 위해 보안 플랫폼을 활용하는 것이 중요해집니다.
이는 주요 클라우드 내의 몇 가지 예에 불과하지만 이것이 제어 및 구성을 면밀히 살펴보는 데 영감을 주기를 바랍니다. 클라우드 공급자는 완벽하지 않습니다. 그들은 우리와 마찬가지로 인적 오류, 취약성 및 보안 격차에 취약합니다. 그리고 클라우드 서비스 제공업체는 매우 안전한 인프라를 제공하지만 보안 상태에 안주하지 않고 한 걸음 더 나아가는 것이 항상 최선입니다. 종종 기본 설정은 맹점을 남기고 진정한 보안을 달성하려면 노력과 유지 관리가 필요합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/the-dangers-of-default-cloud-configurations
