三大主流云計算的默認配置風險
默認云配置帶來的危險
在涉及云的語境下聽到“默認設置”這個詞,你腦海中可能會浮現出一些東西:設置新應用時的默認管理員密碼、公共AWS S3存儲桶,或者默認用戶訪問權限。相比安全性,供應商往往更為重視客戶眼中的可用性和易用性,導致默認設置大行其道。但有一點需要澄清:設置或控制措施是默認的,并不意味著就是推薦的或者安全的。
下面我們就來看看可能讓企業陷入風險之中的幾個默認設置案例。
Azure
不同于Azure SQL Managed Instances,Azure SQL Databases的內置防火墻可配置為允許服務器級或數據庫級連接。這就給了用戶很多選擇可以用來確保正確的連接。
如果要讓Azure內部的應用連接Azure SQL Database,可以用服務器的“Allow Azure Services”設置,將起始和結束IP地址設置為0.0.0.0。名為“AllowAllWindowsAzureIps”的設置聽起來似乎無害,但這個選項會將Azure SQL Database防火墻配置為不僅允許來自你自家Azure配置的所有連接,也允許來自任意Azure配置的所有連接。開啟這個功能,你的數據庫就向來自其他客戶的連接敞開了大門,給登錄和身份管理帶來了更大壓力。
需要注意的是,Azure SQL Database是否允許任意公共IP地址連接。這么做不尋常,而且,盡管可以用默認設置,但不意味著就應該用。你應該會想要減小SQL服務器的攻擊面,而減小攻擊面的方法之一就是用細粒度的IP地址定義防火墻規則。定義數據中心和其他資源的確切可用地址列表。
Amazon Web Services (AWS)
EMR是Amazon的大數據解決方案,提供數據處理、交互式數據分析,以及使用開源框架的機器學習。Yet Another Resource Negotiator(YARN)是EMR使用Hadoop框架的先決條件。問題在于,EMR主服務器上的YARN暴露了表現層狀態轉移(REST)API,允許遠程用戶向集群提交新的應用。AWS中的安全控制在這里默認是不啟用的。
這個默認配置可能不會被注意到,因為其處在兩個不同的交叉口。我們在查找對互聯網開放的端口時發現了這個問題,但由于是個平臺,EMR底層還有EC2基礎設施支持,客戶就會感到困惑。而且,他們檢查配置的時候也會疑惑,因為可以看到EMR配置中啟用了“block public access”(阻止公共訪問)設置。但即使啟用了這一默認設置,EMR還是暴露了22和8088端口,這兩個端口可以用于遠程代碼執行。如果服務控制策略(SCP)、訪問控制列表或主機防火墻(如Linux IPTables)沒阻止這一點,互聯網上的知名掃描器就會積極搜索這些默認設置了。
谷歌云平臺(GCP)
GCP體現了身份是云端新邊界的理念,采用了強大的細粒度權限系統。然而,GCP的服務賬戶成了最影響用戶的一個普遍問題。這個問題存在于GCP CIS Benchmarks中。
由于服務賬戶用于為GCP中的服務賦予執行授權API調用的能力,創建時的默認設置常被誤用。服務賬戶允許其他用戶或其他服務賬戶冒充自己。我們必須了解這種擔憂更進一步的含義,那就是你的環境中可能會圍繞這些默認設置出現完全不受限制的訪問。換句話說,在云端,一個小小的錯誤配置所引發的震蕩可能遠遠超出目力所及范圍。云攻擊路徑可能始于錯誤配置,但經過提權、橫向移動和隱藏有效權限后,以獲得敏感數據而告終。
所有用戶托管(但非用戶創建)的默認服務賬戶都分配有Editor角色,用以支持它們在GCP中提供的服務。簡單刪除Editor角色未必就能修復這個問題,因為這么做可能會破壞服務的功能。所以我們有必要深入了解權限,必須確切知道隨著時間流逝服務賬戶在用或沒在用哪些權限。由于編程身份更容易遭到濫用的風險,利用安全平臺獲得最小權限就變得至關重要了。
以上只是主流云平臺中的幾個例子,希望能啟發讀者仔細審查自己的控制措施和各項配置。云提供商并未達到完美境界。他們跟我們一樣,也容易受到人為失誤、漏洞和安全缺陷的影響。盡管云服務提供商提供了很安全的基礎設施,最好還是更進一步,永遠不要自滿于自己的安全狀況。默認設置往往會留下盲點,達到真正的安全需要付出努力和長期維護。
