ፕሮሆስተር > ጦማር > አስተዳደር > በAWS ላይ የካፒታል አንድ ጠለፋ ቴክኒካዊ ዝርዝሮች

በAWS ላይ የካፒታል አንድ ጠለፋ ቴክኒካዊ ዝርዝሮች

በAWS ላይ የካፒታል አንድ ጠለፋ ቴክኒካዊ ዝርዝሮች

እ.ኤ.አ. ጁላይ 19፣ 2019 ካፒታል ዋን እያንዳንዱ ዘመናዊ ኩባንያ የሚፈራውን መልእክት ደረሰ-የመረጃ ጥሰት ተፈጥሯል። ከ106 ሚሊዮን በላይ ሰዎችን ጎዳ። 140 የአሜሪካ የማህበራዊ ዋስትና ቁጥሮች፣ አንድ ሚሊዮን የካናዳ የማህበራዊ ዋስትና ቁጥሮች። 000 የባንክ ሂሳቦች. ደስ የማይል ፣ አይስማሙም?

በሚያሳዝን ሁኔታ, ጠለፋው በጁላይ 19 ላይ አልተከሰተም. እንደ ተለወጠ, Paige Thompson, a.k.a. ኢራቲክከማርች 22 እስከ ማርች 23፣ 2019 ድረስ ፈጽሟል። ያውና ከአራት ወራት በፊት. እንደውም ካፒታል ዋን የሆነ ነገር እንደተፈጠረ ለማወቅ የቻለው በውጪ አማካሪዎች እርዳታ ነው።

የቀድሞ የአማዞን ሰራተኛ ተይዞ 250 ዶላር ቅጣት እና የአምስት አመት እስራት ይጠብቀዋል። ለምን? ምክንያቱም በሰርጎ ገብ ወንጀል የተጎዱ ብዙ ኩባንያዎች የመሠረተ ልማት አውታሮችን እና አፕሊኬሽኖቻቸውን የሳይበር ወንጀሎች እየጨመሩ በመጡበት ወቅት ኃላፊነታቸውን ለመተው እየሞከሩ ነው።

ለማንኛውም ይህን ታሪክ በቀላሉ ጎግል ማድረግ ትችላለህ። ወደ ድራማ አንገባም ነገር ግን ተናገር ቴክኒካል ከጉዳዩ ጎን.

በመጀመሪያ ምን ተፈጠረ?

ካፒታል አንድ ወደ 700 የሚጠጉ S3 ባልዲዎች ይሮጡ ነበር፣ ይህም ፔዥ ቶምፕሰን ገልብጦ አወጣ።

በሁለተኛ ደረጃ፣ ይህ የተሳሳተ የS3 ባልዲ ፖሊሲ ሌላ ጉዳይ ነው?

አይ, በዚህ ጊዜ አይደለም. እዚህ እሷ በትክክል ያልተዋቀረ ፋየርዎል ያለው አገልጋይ ማግኘት ቻለች እና ሙሉ ቀዶ ጥገናውን ከዚያ አድርጋለች።

ቆይ፣ እንዴት ሊሆን ይችላል?

ደህና፣ ብዙ ዝርዝሮች ባይኖረንም፣ ወደ አገልጋዩ በመግባት እንጀምር። የተነገረን “በተሳሳተ ፋየርዎል” በኩል ነው። ስለዚህ፣ ልክ ያልሆነ የደኅንነት ቡድን ቅንጅቶች ወይም የድር መተግበሪያ ፋየርዎል (ኢምፐርቫ)፣ ወይም የአውታረ መረብ ፋየርዎል (iptables፣ ufw፣ shorewall ወዘተ) ቀላል የሆነ ነገር። ካፒታል አንድ ጥፋቱን አምኖ ቀዳዳውን እንደዘጋሁት ተናግሯል።

ስቶን ካፒታል አንድ መጀመሪያ ላይ የፋየርዎልን ተጋላጭነት አላስተዋለም ነገር ግን ካወቀ በኋላ በፍጥነት እርምጃ ወስዷል። ይህ በእርግጥ የረዳው ጠላፊው በሕዝብ ጎራ ውስጥ ቁልፍ የመለየት መረጃን ትቷል በመባሉ ነው ሲል ስቶን ተናግሯል።

ለምን ወደዚህ ክፍል ጠልቀን አንገባም ብለው የሚያስቡ ከሆነ፣ እባክዎን በውሱን መረጃ ምክንያት መገመት ብቻ እንደምንችል ይረዱ። ይህ ጠለፋው በካፒታል ዋን በተተወው ቀዳዳ ላይ የተመሰረተ በመሆኑ ምንም ትርጉም የለውም። እና ተጨማሪ ካልነገሩን በስተቀር፣ ካፒታል ዋን አንድ ሰው ከነዚህ የተለያዩ አማራጮች አንዱን ሊጠቀምባቸው ከሚችሉባቸው መንገዶች ጋር በማጣመር አገልጋያቸውን ክፍት ያደረገባቸውን ሁሉንም መንገዶች እንዘረዝራለን። እነዚህ ድክመቶች እና ቴክኒኮች ከአውሬ ደደብ ቁጥጥር እስከ አስገራሚ ውስብስብ ቅጦች ሊደርሱ ይችላሉ። ከአቅም ወሰን አንፃር ይህ ምንም እውነተኛ መደምደሚያ የሌለው ረጅም ሳጋ ይሆናል። ስለዚህ, እውነታዎች ያሉንበትን ክፍል በመተንተን ላይ እናተኩር.

ስለዚህ የመጀመሪያው የመውሰጃ መንገድ፡ ፋየርዎል ምን እንደሚፈቅዱ ይወቁ።

መከፈት ያለበት ነገር ብቻ መከፈቱን ለማረጋገጥ ፖሊሲ ወይም ትክክለኛ ሂደት ያቋቁሙ። እንደ ሴኩሪቲ ቡድኖች ወይም ኔትወርክ ኤሲኤሎች ያሉ የAWS ሃብቶችን እየተጠቀሙ ከሆነ፣ ለኦዲት የሚደረገው የማረጋገጫ ዝርዝሩ ረጅም ሊሆን እንደሚችል ግልጽ ነው...ነገር ግን ብዙ ሀብቶች በራስ ሰር እንደሚፈጠሩ (ማለትም CloudFormation)፣ ኦዲታቸውን በራስ ሰር ማድረግም ይቻላል። አዳዲስ ነገሮችን ለጉድለት የሚቃኝ የቤት ውስጥ ስክሪፕት ይሁን ወይም በCI/CD ሂደት ውስጥ እንደ የደህንነት ኦዲት ያለ ነገር... ይህንን ለማስወገድ ብዙ ቀላል አማራጮች አሉ።

የታሪኩ “አስቂኝ” ክፍል ካፒታል ዋን ቀድሞ ቀዳዳውን ቢሰካው... ምንም ባልተፈጠረ ነበር። እና ስለዚህ፣ እውነቱን ለመናገር፣ አንድ ነገር በእውነት እንዴት እንደሆነ ማየት ሁል ጊዜ አስደንጋጭ ነው። በጣም ቀላል አንድ ኩባንያ ለመጥለፍ ብቸኛው ምክንያት ይሆናል። በተለይም እንደ ካፒታል አንድ ትልቅ።

ስለዚህ, ጠላፊ ውስጥ - ቀጥሎ ምን ሆነ?

ደህና፣ የ EC2 ምሳሌ ከገባን በኋላ... ብዙ ሊሳሳት ይችላል። አንድ ሰው ይህን ያህል ርቀት እንዲሄድ ከፈቀዱ በተግባር በቢላ ጠርዝ ላይ እየተራመዱ ነው። ግን ወደ S3 ባልዲዎች እንዴት ገባ? ይህንን ለመረዳት፣ IAM Rolesን እንወያይ።

ስለዚህ፣ የAWS አገልግሎቶችን ለማግኘት አንዱ መንገድ ተጠቃሚ መሆን ነው። እሺ ይህ በጣም ግልፅ ነው። ነገር ግን ሌሎች የAWS አገልግሎቶችን፣ እንደ የእርስዎ መተግበሪያ አገልጋዮች፣ የ S3 ባልዲዎችዎን መዳረሻ መስጠት ከፈለጉስ? የ IAM ሚናዎች ለዚህ ነው። እነሱ ሁለት አካላትን ያቀፈ ነው-

  1. የመተማመን ፖሊሲ - ምን አገልግሎቶች ወይም ሰዎች ይህንን ሚና ሊጠቀሙ ይችላሉ?
  2. የፍቃድ ፖሊሲ - ይህ ሚና ምን ይፈቅዳል?

ለምሳሌ፣ EC2 ምሳሌዎች S3 ባልዲ ላይ እንዲደርሱ የሚያስችል የIAM ሚና መፍጠር ትፈልጋለህ፡ በመጀመሪያ፣ ሚናው EC2 (ሙሉውን አገልግሎት) ወይም የተወሰኑ አጋጣሚዎች ሚናውን "ሊረከብ" የሚችል የትረስት ፖሊሲ እንዲኖረው ተዘጋጅቷል። ሚናን መቀበል ማለት ድርጊቶችን ለማከናወን የተናትን ፈቃዶች መጠቀም ይችላሉ። በሁለተኛ ደረጃ፣ የፈቃድ ፖሊሲው አገልግሎት/ሰው/ሀብት በS3 ላይ ማንኛውንም ነገር እንዲያደርግ ይፈቅዳል፣አንድ የተወሰነ ባልዲ ማግኘትም ይሁን...ወይም ከ700 በላይ፣ እንደ ካፒታል አንድ።

አንዴ ከ IAM ሚና ጋር በEC2 ምሳሌ ውስጥ ከገቡ በኋላ በተለያዩ መንገዶች ምስክርነቶችን ማግኘት ይችላሉ፡

  1. ለምሳሌ ሜታዳታ በ ላይ መጠየቅ ይችላሉ። http://169.254.169.254/latest/meta-data

    ከሌሎች ነገሮች በተጨማሪ የIAM ሚናን በማንኛውም የመዳረሻ ቁልፎች በዚህ አድራሻ ማግኘት ይችላሉ። እርግጥ ነው፣ በምሳሌነት ውስጥ ከሆኑ ብቻ።

  2. AWS CLI ተጠቀም...

    AWS CLI ከተጫነ፣ ካለ፣ ከ IAM ሚናዎች ምስክርነቶች ተጭኗል። የሚቀረው በምሳሌው በኩል መስራት ነው። በእርግጥ የእነርሱ የመተማመን ፖሊሲ ክፍት ከሆነ ፔጅ ሁሉንም ነገር በቀጥታ ማድረግ ይችል ነበር።

ስለዚህ የIAM ሚናዎች ይዘት አንዳንድ ሀብቶች በሌሎች ምንጮች ላይ በእርስዎ ምትክ እንዲሠሩ መፍቀዳቸው ነው።

አሁን የ IAMን ሚናዎች ስለተረዱ፣ ፔጅ ቶምሰን ስላደረገው ነገር መነጋገር እንችላለን፡-

  1. በፋየርዎል ውስጥ ባለ ቀዳዳ በኩል ወደ አገልጋዩ (EC2 ምሳላ) ማግኘት ችላለች።

    የደህንነት ቡድኖች/ኤሲኤሎችም ይሁኑ የራሳቸው የዌብ አፕሊኬሽን ፋየርዎል፣ ጉድጓዱ ምናልባት ለመሰካት በጣም ቀላል ነበር በይፋዊ መዝገቦች ላይ።

  2. አንዴ በአገልጋዩ ላይ፣ እሷ ራሷ አገልጋይ እንደነበረች “እንደ” መስራት ችላለች።
  3. የIAM አገልጋይ ሚና S3 እነዚህን 700+ ባልዲዎች እንዲደርስ ስለፈቀደ፣ እነርሱን ማግኘት ችሏል።

ከዚያን ጊዜ ጀምሮ ማድረግ ያለባት ትዕዛዙን ማስኬድ ብቻ ነበር። List Bucketsእና ከዚያም ትዕዛዙ Sync ከ AWS CLI...

ካፒታል አንድ ባንክ በጠለፋው የደረሰውን ጉዳት ከ100 እስከ 150 ሚሊዮን ዶላር እንደሚገምት ገልጿል።. እንዲህ ያለውን ጉዳት መከላከል ኩባንያዎች በደመና መሠረተ ልማት ጥበቃ፣ DevOps እና የደህንነት ባለሙያዎች ላይ ብዙ መዋዕለ ንዋያቸውን የሚያፈሱበት ምክንያት ነው። እና ምን ያህል ዋጋ ያለው እና ወጪ ቆጣቢ ወደ ደመና መንቀሳቀስ ነው? በጣም ብዙ እና ብዙ የሳይበር ደህንነት ተግዳሮቶች ፊት ለፊት በ42 የመጀመሪያ ሩብ አመት አጠቃላይ የህዝብ ደመና ገበያ በ2019 በመቶ አድጓል።!

የታሪኩ ሞራል: ደህንነትዎን ያረጋግጡ; መደበኛ ኦዲት ማካሄድ; ለደህንነት ፖሊሲዎች አነስተኛ መብት የሚለውን መርህ ያክብሩ።

(ይህ ነው ሙሉውን የህግ ዘገባ ማየት ይችላሉ።)

ምንጭ: hab.com

አስተያየት ያክሉ