19 ජූලි 2019 වන දින, Capital One වෙත සෑම නවීන සමාගමක්ම බිය වන පණිවිඩය ලැබුණි - දත්ත කඩවීමක් සිදු විය. එය මිලියන 106 කට වැඩි පිරිසකට බලපෑවේය. එක්සත් ජනපද සමාජ ආරක්ෂණ අංක 140, කැනේඩියානු සමාජ ආරක්ෂණ අංක මිලියනයක්. බැංකු ගිණුම් 000ක්. අප්රසන්න, ඔබ එකඟ නොවේද?
අවාසනාවකට, හැක් කිරීම ජූලි 19 වන දින සිදු නොවීය. එය පෙනෙන පරිදි, Paige Thompson, a.k.a. අක්රමවත්, එය 22 මාර්තු 23 සහ මාර්තු 2019 අතර සිදු කරන ලදී. එනම් මාස හතරකට පමණ පෙර. ඇත්ත වශයෙන්ම, කැපිටල් වන් විසින් යමක් සිදුවී ඇති බව සොයා ගැනීමට හැකි වූයේ බාහිර උපදේශකයින්ගේ සහාය ඇතිව පමණි.
හිටපු Amazon සේවකයෙකු අත්අඩංගුවට ගෙන ඩොලර් 250 ක දඩයකට සහ වසර පහක සිර දඬුවමකට මුහුණ දෙයි... නමුත් තවමත් බොහෝ නිෂේධාත්මක බවක් ඉතිරිව ඇත. ඇයි? මක්නිසාද යත්, අනවසරයෙන් පීඩා විඳි බොහෝ සමාගම් සයිබර් අපරාධ වැඩිවීම මධ්යයේ ඔවුන්ගේ යටිතල පහසුකම් සහ යෙදුම් ශක්තිමත් කිරීමේ වගකීමෙන් මිදීමට උත්සාහ කරන බැවිනි.
කොහොම හරි මේ කතාව ලේසියෙන්ම ගූගල් කරලා බලන්න පුළුවන්. අපි නාට්යවලට යන්නේ නැහැ, ඒ ගැන කතා කරමු කාර්මික කාරණයේ පැත්ත.
පළමුවෙන්ම, සිදු වූයේ කුමක්ද?
Capital One හි S700 බාල්දි 3ක් පමණ ධාවනය වූ අතර, එය Paige Thompson විසින් පිටපත් කර ඉවත් කරන ලදී.
දෙවනුව, මෙය වැරදි ලෙස වින්යාස කර ඇති S3 බකට් ප්රතිපත්තියේ තවත් අවස්ථාවක්ද?
නැහැ, මේ වතාවේ නැහැ. මෙහිදී ඇය වැරදි ලෙස වින්යාස කර ඇති ෆයර්වෝලයක් සහිත සේවාදායකයකට ප්රවේශය ලබාගෙන එහි සිට සම්පූර්ණ මෙහෙයුම සිදු කළාය.
ඉන්න, එය කළ හැක්කේ කෙසේද?
හොඳයි, අපට වැඩි විස්තර නොමැති වුවද, සේවාදායකයට ලොග් වීමෙන් ආරම්භ කරමු. එය සිදුවූයේ "වැරදි වින්යාසගත ෆයර්වෝලයක්" හරහා බව පමණක් අපට පවසා ඇත. එබැවින්, වැරදි ආරක්ෂක කණ්ඩායම් සැකසීම් හෝ වෙබ් යෙදුම් ෆයර්වෝල් (Imperva), හෝ ජාල ෆයර්වෝල් (iptables, ufw, shorewall, ආදිය) වින්යාස කිරීම වැනි සරල දෙයක්. කැපිටල් එක තම වරද පිළිගෙන සිදුර වැසූ බව කීවා පමණි.
කැපිටල් වන් මුලින් ෆයර්වෝල් අවදානම නොදැක්කා නමුත් එය දැනගත් පසු ඉක්මනින් ක්රියා කළ බව ස්ටෝන් පැවසීය. මෙයට නිසැකවම උපකාර වූයේ හැකර් විසින් ප්රධාන හඳුනාගැනීමේ තොරතුරු පොදු වසමෙහි තැබූ බව කියනු ලබන බව ස්ටෝන් පැවසීය.
අපි මෙම කොටසට ගැඹුරට නොයන්නේ මන්දැයි ඔබ කල්පනා කරන්නේ නම්, සීමිත තොරතුරු නිසා අපට අනුමාන කළ හැක්කේ අනුමාන කිරීමට පමණක් බව කරුණාකර තේරුම් ගන්න. හැක් කිරීම කැපිටල් වන් විසින් ඉතිරි කරන ලද සිදුරක් මත රඳා පැවතීම නිසා මෙය තේරුමක් නැත. ඔවුන් අපට වැඩි විස්තර පවසන්නේ නම් මිස, අපි Capital One ඔවුන්ගේ සේවාදායකය විවෘත කළ හැකි සියලු ක්රම ලැයිස්තුගත කරන්නෙමු, යමෙකුට මෙම විවිධ විකල්ප වලින් එකක් භාවිතා කළ හැකි සියලු ක්රම සමඟ ඒකාබද්ධව. මෙම දෝෂ සහ ශිල්පීය ක්රම ඉතා මෝඩ අධීක්ෂණවල සිට ඇදහිය නොහැකි තරම් සංකීර්ණ රටා දක්වා විහිදේ. විභවතා පරාසය අනුව, මෙය සැබෑ නිගමනයක් නොමැතිව දිගු කථාවක් බවට පත්වනු ඇත. ඒ නිසා අපි කරුණු ඇති කොටස විශ්ලේෂණය කිරීමට අවධානය යොමු කරමු.
එබැවින් පළමු රැගෙන යාම: ඔබේ ෆයර්වෝල් ඉඩ දෙන්නේ කුමක්දැයි දැන ගන්න.
විවෘත කළ යුතු දේ පමණක් විවෘත කිරීම සහතික කිරීම සඳහා ප්රතිපත්තියක් හෝ නිසි ක්රියාවලියක් ස්ථාපිත කරන්න. ඔබ ආරක්ෂක කණ්ඩායම් හෝ ජාල ACL වැනි AWS සම්පත් භාවිතා කරන්නේ නම්, පැහැදිලිවම විගණනය සඳහා පිරික්සුම් ලැයිස්තුව දිගු විය හැක... නමුත් බොහෝ සම්පත් ස්වයංක්රීයව (එනම් CloudFormation) සාදනු ලබනවා සේම, ඒවායේ විගණනය ස්වයංක්රීය කිරීමටද හැකිය. එය දෝෂ සඳහා නව වස්තු පරිලෝකනය කරන ගෙදර හැදූ ස්ක්රිප්ට් එකක් වේවා, නැතහොත් CI/CD ක්රියාවලියක ආරක්ෂක විගණනයක් වැනි දෙයක් වේවා... මෙය වළක්වා ගැනීමට බොහෝ පහසු විකල්ප තිබේ.
කතාවේ "විහිළු" කොටස නම්, කැපිටල් වන් මුලින්ම සිදුර සවි කළා නම් ... කිසිවක් සිදු නොවනු ඇත. එබැවින්, අවංකවම, යමක් සැබවින්ම කෙසේ දැයි දැකීම සැමවිටම කම්පනයකි හරි සරලයි සමාගමක් හැක් කිරීමට එකම හේතුව බවට පත් වේ. විශේෂයෙන්ම Capital One තරම් විශාල එකක්.
ඉතින්, හැකර් ඇතුලේ - ඊළඟට මොකද වුණේ?
හොඳයි, EC2 අවස්ථාවට කඩාවැදීමෙන් පසු... බොහෝ දේ වැරදි විය හැක. ඔබ යමෙකුට එතරම් දුරක් යාමට ඉඩ දුන්නොත් ඔබ ප්රායෝගිකව පිහි අද්දර ඇවිදිනවා. නමුත් එය S3 බාල්දි වලට ඇතුල් වූයේ කෙසේද? මෙය තේරුම් ගැනීමට, අපි IAM භූමිකාවන් ගැන සාකච්ඡා කරමු.
එබැවින්, AWS සේවාවන් වෙත ප්රවේශ වීමට එක් ක්රමයක් වන්නේ පරිශීලකයෙකු වීමයි. හරි, මේක හොඳටම පැහැදිලියි. නමුත් ඔබට ඔබගේ යෙදුම් සේවාදායකයන් වැනි වෙනත් AWS සේවාවන්, ඔබගේ S3 බාල්දි වෙත ප්රවේශය ලබා දීමට අවශ්ය නම් කුමක් කළ යුතුද? IAM භූමිකාවන් යනු එයයි. ඒවා සංරචක දෙකකින් සමන්විත වේ:
- විශ්වාස ප්රතිපත්තිය - මෙම භූමිකාව භාවිතා කළ හැක්කේ කුමන සේවාවන් හෝ පුද්ගලයන්ටද?
- අවසර ප්රතිපත්තිය - මෙම භූමිකාව ඉඩ දෙන්නේ කුමක් ද?
උදාහරණයක් ලෙස, ඔබට EC2 අවස්ථාවන්ට S3 බාල්දියකට ප්රවේශ වීමට ඉඩ සලසන IAM භූමිකාවක් නිර්මාණය කිරීමට අවශ්ය වේ: පළමුව, භූමිකාව EC2 (සම්පූර්ණ සේවාවම) හෝ විශේෂිත අවස්ථාවන්ට භූමිකාව "භාරගත" හැකි විශ්වාස ප්රතිපත්තියක් ඇති කිරීමට සකසා ඇත. භූමිකාවක් පිළිගැනීම යනු ක්රියාවන් සිදු කිරීමට ඔවුන්ට භූමිකාවේ අවසර භාවිතා කළ හැකි බවයි. දෙවනුව, අවසර ප්රතිපත්තිය මගින් "භූමිකාව ගත්" සේවාවට/පුද්ගලයාට/සම්පතට S3 මත ඕනෑම දෙයක් කිරීමට ඉඩ සලසයි, එය එක් විශේෂිත බාල්දියකට ප්රවේශ වීම හෝ 700 ට වැඩි වුවද, Capital One හි මෙන්.
ඔබ IAM භූමිකාව සමඟ EC2 අවස්ථාවක සිටින විට, ඔබට ක්රම කිහිපයකින් අක්තපත්ර ලබා ගත හැක:
- ඔබට නිදසුන් පාරදත්ත ඉල්ලා සිටිය හැක
http://169.254.169.254/latest/meta-dataවෙනත් දේ අතර, ඔබට මෙම ලිපිනයේ ඇති ඕනෑම ප්රවේශ යතුරු සමඟ IAM භූමිකාව සොයාගත හැකිය. ඇත්ත වශයෙන්ම, ඔබ යම් අවස්ථාවක සිටී නම් පමණි.
- AWS CLI භාවිතා කරන්න...
AWS CLI ස්ථාපනය කර ඇත්නම්, එය IAM භූමිකාවන්ගෙන් අක්තපත්ර සමඟ පටවනු ලැබේ. ඉතිරිව ඇත්තේ අවස්ථාව හරහා වැඩ කිරීම පමණි. ඇත්ත වශයෙන්ම, ඔවුන්ගේ විශ්වාසනීය ප්රතිපත්තිය විවෘත නම්, Paige හට සියල්ල කෙලින්ම කළ හැකිය.
එබැවින් IAM භූමිකාවන්හි සාරය නම්, ඒවා සමහර සම්පත් වෙනත් සම්පත් මත ඔබ වෙනුවෙන් ක්රියා කිරීමට ඉඩ දීමයි.
දැන් ඔබ IAM හි භූමිකාවන් තේරුම් ගෙන ඇති අතර, අපට Paige Thompson කළ දේ ගැන කතා කළ හැකිය:
- ඇය ෆයර්වෝලයේ සිදුරක් හරහා සේවාදායකයට (EC2 අවස්ථාව) ප්රවේශය ලබා ගත්තාය
එය ආරක්ෂක කණ්ඩායම්/ACL හෝ ඔවුන්ගේම වෙබ් යෙදුම් ෆයර්වෝල් වේවා, නිල වාර්තාවල සඳහන් පරිදි සිදුර ප්ලග් කිරීම තරමක් පහසු විය.
- සේවාදායකයට පැමිණි පසු, ඇය සේවාදායකයා ලෙස “සේවය” කිරීමට ඇයට හැකි විය
- IAM සේවාදායක භූමිකාව මෙම 3+ බාල්දි වෙත S700 ප්රවේශයට ඉඩ දුන් බැවින්, එයට ඒවාට ප්රවේශ වීමට හැකි විය.
ඒ මොහොතේ සිට ඇයට කළ යුතුව තිබුණේ විධානය ක්රියාත්මක කිරීමයි List Bucketsඉන්පසු විධානය Sync AWS CLI වෙතින්...
. වලාකුළු යටිතල පහසුකම් ආරක්ෂණය, DevOps සහ ආරක්ෂක විශේෂඥයින් සඳහා සමාගම් මෙතරම් විශාල මුදලක් ආයෝජනය කරන්නේ ඇයිද යන්න එවැනි හානි වැළැක්වීමයි. සහ වලාකුළ වෙත ගමන් කිරීම කොතරම් වටිනා සහ ලාභදායීද? කෙතරම්ද යත් වැඩි වැඩියෙන් සයිබර් ආරක්ෂණ අභියෝග හමුවේ පවා !
කතාවේ සදාචාරය: ඔබේ ආරක්ෂාව පරීක්ෂා කරන්න; නිතිපතා විගණන පැවැත්වීම; ආරක්ෂක ප්රතිපත්ති සඳහා අවම වරප්රසාද මූලධර්මයට ගරු කරන්න.
( ඔබට සම්පූර්ණ නීති වාර්තාව නැරඹිය හැකිය).
මූලාශ්රය: www.habr.com