نظرات اخیر

    سه اشتباه مهم در پیکربندی کلود AWS و نحوه رفع آن ها

    سه اشتباه مهم در پیکربندی کلود AWS و نحوه رفع آن ها

    بر کسی پوشیده نیست به کارگیری کلود، مزایای تجاری قابل ملاحظه ای به همراه دارد که از جمله آن ها می توان به افزایش سرعت، کاهش هزینه ها، انعطاف پذیری و سهولت در استفاده اشاره کرد. اما مشکل اینجاست که شرکت ها قبل از این که بتوانند فرایندها و اصول امنیتی را پیاده کنند، از کلود استفاده کرده اند. تیم های توسعه با اشتیاق فراوانی حجم کار با کلود را افزایش می دهند و زیرساخت AWS جدید را به راه امی اندازند، ولی تیم های امنیتی احساس می کنند که عقب مانده اند.

    برخی از مهمترین نفوذهای انجام شده به کلود که در طول سال گذشته شاهده آن ها بوده ایم حاکی از اشتباهات ابتدایی در پیکربندی امنیتی هستند: باز بودن پورت 22 و RDP (پروتکل ریموت دسکتاپ) برای عموم (تمامی آی پی ها) از جمله این اشتباهات است. ما این اشتباهات را در زیرساخت اجاره ای هم انجام نمی دهیم ولی چرا شاهد آن ها در کلود هستیم؟ با نگاه اجمالی به این رویدادها متوجه می شویم که این اتفاقات تکراری از همان رویدادهای دهه 90 است: توسعه دهندگان با هیجان زیادی از جدیدترین تکنولوژی ها استفاده می کنند و هیچ فکری برای امنیت پروژه های اخیر خود نکرده اند.

    اشتباهات ناشیانه در پیکربندی باعث شده کلود به محلی بی قانون و پر از فرصت های طلایی برای هکرها تبدیل شود. در نتیجه این اشتباهات گروه های مجرمین سایبری مانند Rocke شکل گرفتند که تخصص آن ها در کلود عمومی بود. اما خبر خوش اینجاست که هکرها به دنبال پول های ارزان هستند (یعنی پول هایی که به راحتی بدست می آیند). پس اگر بتوانید با استفاده از پیکربندی های صحیح، کار را برای آن ها سخت کنید به دنبال هدف دیگری خواهند رفت.

    تیم ما در طول چند سال گذشته در حال جمع آوری داده از صدها محیط کلود است تا بتوانیم از بزرگترین تهدیدات پیش روی کلود عمومی درس بگیریم. ما دریافتیم که در سال گذشته، 65 درصد از حمله ها، ناشی از پیکربندی اشتباه بوده اند. پژوهش ما سه اشتباه بزرگ در پیکربندی را شناسایی کرد که در محیط های AWS سازمان ها بسیار رایج اند. مجموعه توصیه های زیر که برای هر یک از این اشتباهات ذکر شده اند، به سازمان ها کمک می کنند کلودهای خود را به شکل بهتری پیکربندی کنند و به راحتی هدف بعدی مهاجمین نشوند.

    گروه امنیتی که اجازه عبور ترافیک اینترنت را می دهد

    گروه امنیتی به صورت یک فایروال مجازی عمل می کند که کنترل ترافیک ورودی و خروجی به یک یا چند نمونه را در دست دارد. گروه های امنیتی باید لیست کنترل دسترسی محدود کننده ای در اختیار داشته باشند که تنها اجازه عبور ترافیک ورودی از IP های تعیین شده را به پورت های تحت نظر اپلیکیشن دهند. اگرچه سه ارائه دهنده برجسته سرویس کلود (CSP) تمام ترافیک ورودی را به صورت پیش فرض مسدود کرده اند اما ترافیک خروجی را باز گذاشته اند. اکیداً توصیه می شود، تیم های امنیتی تمام گروه های امنیتی را مرتباً بازبینی کنند تا از پیکربندی صحیح آن ها اطمینان حاصل نمایند و تغییرات ناخواسته ای در آن ها صورت نگرفته باشد. یکی از بررسی هایی که حتماً باید انجام شود این است که مطمئن شوید سیاست های گروه امنیتی فعلی شما تنها به ترافیک آدرس های تعیین شده مورد نیاز سازمان اجازه عبور دهند.

    توصیه ها

    اگر با یک گروه امنیتی مواجه شدید که به تمام ترافیک ورودی اجازه عبور می دهد، برای جلوگیری از آن گام های زیر را دنبال کنید:

    • وارد داشبورد AWS شوید و به سرویس VPC بروید.
    • برروی لینک «Security Group» در سمت چپ صفحه نمایش کلیک کنید.
    • بر روی تب «Inbound Rules» کلیک کنید و تمام ردیف هایی که مقدار سورس آن ها حاوی ‘0.0.0.0/0’ یا ‘::/0’ هستند را حذف کنید.

    در صورتی که سازمان شما یا ساب نت خاصی با تمام کشورها ارتباط ندارد گام های زیر را دنبال کنید:

    • وارد داشبورد AWS شوید و به سرویس VPC بروید.
    • برروی لینک «Security Group» مخصوص هشدار کلیک کنید.
    • بر روی «Outbound Rules» کلیک کنید و یک ردیف با پروتکل (مثل TCP، UDP و ICMP) و دامنه آدرس آی پی/نت صحیح وارد کنید تا فقط اتصالات تعیین شده شبکه را دریافت کند.

    گروه های امنیتی AWS که اجازه عبور ترافیک اینترنت از پورت SSH (22) را می دهند

    گروه های امنیتی AWS که به ترافیک ورودی از اینترنت عمومی اجازه می دهند از پورت SSH (22) عبور کند، سازمان را با ریسک امنیتی بالایی مواجه می کنند. این پژوهش نشان می دهد که آسیب پذیری های درون سرویس های SSH قدیمی به میزان قابل توجهی مورد استفاده خرابکاران قرار گرفته است. پژوهش Unit 42 نشان داد که 56 درصد از سازمان ها حداقل یک سرویس SSH کلود متصل به اینترنت دارند. در صورتی که این پورت باز باشد فرد خرابکار می تواند خود سرویس SSH را دچار اختلال کند یا به سرویس را مورد حمله بروت فورس قرار دهد و با احتمال زیادی به محیط کلود سازمان شما دسترسی پیدا کند.

    توصیه ها

    اگر گروه امنیتی به محدود کردن ترافیک SSH نیاز دارد گام های زیر را دنبال کنید:

    • وارد داشبورد AWS شوید و به سرویس VPC بروید.
    • لینک «Security Group» را انتخاب و بر روی تب «Inbound Rule» کلیک کنید.
    • تمام رول هایی (rule) که در مقدار «Port Range» آن ها port 22 وجود دارد را حذف کنید.

    گروه های امنیتی AWS که اجازه عبور ترافیک اینترنت ازRDP پورت 3389 را می دهند

    گروه های امنیتی نباید اجازه عبور ترافیک از RDP پورت 3389 را بدهند. با این کار ممکن است فرد خرابکار بتواند با یک سوء استفاده یا حمله بروت فورس به اپلیکیشن آن را دچار اختلال کند و به محیط کلود سازمان شما دسترسی پیدا کند.

    توصیه ها

    • وارد داشبورد AWS شوید و به سرویس VPC بروید.
    • لینک «Security Group» را انتخاب و بر روی تب «Inbound Rule» کلیک کنید.
    • تمام رول هایی (rule) که در مقدار «Port Range» آن ها port 3389 دارند را حذف کنید.

    حذف اهداف آسان

    حرف آخر این که سه مورد ذکر شده نباید هیچ گاه در محیط شما دیده شوند. برای تضمین موفقیت خود باید تجهیزات و اقدامات حفاظتی را به صورت خودکار درآورید تا توسعه دهندگان بدون ایجاد اختلال در امنیت سازمان، آزادانه در آن فعالیت کنند.

    برای اطلاعات بیشتر در مورد پژوهش هوش تهدید در کلود عمومی به Unit 42 Cloud Research Report مراجعه نمایید.

    مطالب مرتبط

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *