Ni Oṣu Keje ọjọ 19, Ọdun 2019, Olu Ọkan gba ifiranṣẹ ti gbogbo ile-iṣẹ ode oni bẹru — irufin data waye. O kan diẹ sii ju 106 milionu eniyan. 140 US awujo awọn nọmba, ọkan milionu Canadian awujo awọn nọmba. 000 ifowo àpamọ. Ko dun, ṣe o ko gba?
Laanu, gige naa ko waye ni Oṣu Keje ọjọ 19th. Bi o ti wa ni jade, Paige Thompson, a.k.a. Alaibamu, ṣe o laarin Oṣu Kẹta Ọjọ 22 ati Oṣu Kẹta Ọjọ 23, Ọdun 2019. Ti o jẹ fere mẹrin osu seyin. Ni otitọ, nikan pẹlu iranlọwọ ti awọn alamọran ita ti Capital One ni anfani lati ṣawari pe nkan kan ti ṣẹlẹ.
Oṣiṣẹ Amazon tẹlẹ kan ni a mu ati pe o dojukọ itanran $ 250 ati ọdun marun ninu tubu… ṣugbọn aibikita pupọ tun wa. Kí nìdí? Nitoripe ọpọlọpọ awọn ile-iṣẹ ti o ti jiya lati awọn hakii n gbiyanju lati yago fun ojuse fun okun awọn amayederun ati awọn ohun elo wọn larin ilosoke ninu iwa-ipa cyber.
Lonakona, o le ni rọọrun google itan yii. A yoo ko lọ sinu eré, ṣugbọn soro nipa imọ-ẹrọ ẹgbẹ ti ọrọ naa.
Ni akọkọ, kini o ṣẹlẹ?
Olu Ọkan ni awọn buckets S700 3 ti nṣiṣẹ, eyiti Paige Thompson daakọ ati yọ kuro.
Ni ẹẹkeji, eyi jẹ ọran miiran ti eto imulo garawa S3 ti ko tọ?
Rara, kii ṣe akoko yii. Nibi o ni iraye si olupin kan pẹlu ogiriina ti ko tọ ti tunto ati pe o ṣe gbogbo iṣẹ naa lati ibẹ.
Duro, bawo ni iyẹn ṣe ṣee ṣe?
O dara, jẹ ki a bẹrẹ nipa wíwọlé sinu olupin naa, botilẹjẹpe a ko ni awọn alaye pupọ. A sọ fun wa nikan pe o ṣẹlẹ nipasẹ “ogiriina ti ko ni atunto.” Nitorinaa, ohun kan ti o rọrun bi awọn eto ẹgbẹ aabo ti ko tọ tabi iṣeto ni ogiriina ohun elo wẹẹbu (Imperva), tabi ogiriina nẹtiwọọki (iptables, ufw, shorewall, ati bẹbẹ lọ). Olu Ọkan nikan gba awọn oniwe-ẹṣẹ ati ki o so wipe o ti pa iho .
Okuta sọ pe Olu Ọkan ko kọkọ ṣe akiyesi ailagbara ogiriina ṣugbọn o ṣe yarayara ni kete ti o ti mọ rẹ. Dajudaju eyi ni iranlọwọ nipasẹ otitọ pe agbonaeburuwole naa fi ẹsun pe o fi alaye idamo bọtini silẹ ni agbegbe gbangba, Stone sọ.
Ti o ba n iyalẹnu idi ti a ko lọ jinle si apakan yii, jọwọ loye pe nitori alaye to lopin a le ṣe akiyesi nikan. Eleyi mu ki ko si ori fun wipe gige da lori iho osi nipa Capital Ọkan. Ati pe ayafi ti wọn ba sọ fun wa diẹ sii, a yoo kan ṣe atokọ gbogbo awọn ọna ti o ṣeeṣe Capital One fi olupin wọn silẹ ni ṣiṣi ni apapọ pẹlu gbogbo awọn ọna ti o ṣeeṣe ẹnikan le lo ọkan ninu awọn aṣayan oriṣiriṣi wọnyi. Awọn abawọn ati awọn ilana wọnyi le wa lati awọn akiyesi aṣiwere ti o ni ẹgan si awọn ilana iyalẹnu ti iyalẹnu. Fi fun awọn iwọn ti o ṣeeṣe, eyi yoo di saga gigun ti ko si ipari gidi. Nítorí náà, ẹ jẹ́ kí a gbájú mọ́ ṣíṣe àyẹ̀wò apá ibi tí a ti ní àwọn òtítọ́.
Nitorinaa gbigbe akọkọ ni: mọ kini awọn ogiriina rẹ gba laaye.
Ṣeto eto imulo tabi ilana to peye lati rii daju pe ohun ti o nilo lati ṣii nikan ni ṣiṣi. Ti o ba nlo awọn orisun AWS bii Awọn ẹgbẹ Aabo tabi Awọn ACLs Nẹtiwọọki, o han gbangba pe atokọ lati ṣayẹwo le jẹ pipẹ… ṣugbọn gẹgẹ bi ọpọlọpọ awọn orisun ti ṣẹda laifọwọyi (ie CloudFormation), o tun ṣee ṣe lati ṣe adaṣe iṣatunṣe wọn. Boya o jẹ iwe afọwọkọ ti ile ti o ṣe ayẹwo awọn nkan tuntun fun awọn abawọn, tabi nkankan bi iṣayẹwo aabo ni ilana CI/CD… ọpọlọpọ awọn aṣayan irọrun wa lati yago fun eyi.
Awọn "funny" apakan ti awọn itan ni wipe ti o ba Capital One ti edidi iho ni akọkọ ibi ... ko si ohun ti yoo ti sele. Ati nitorinaa, ni otitọ, o jẹ iyalẹnu nigbagbogbo lati rii bii nkan ṣe gaan lẹwa o rọrun di awọn nikan idi fun a ile-ti wa ni ti gepa. Paapa ọkan bi nla bi Olu Ọkan.
Nitorina, agbonaeburuwole inu - kini o ṣẹlẹ nigbamii?
O dara, lẹhin fifọ sinu apẹẹrẹ EC2 kan… pupọ le lọ ni aṣiṣe. O n rin ni adaṣe lori eti ọbẹ ti o ba jẹ ki ẹnikan lọ jinna yẹn. Ṣugbọn bawo ni o ṣe wọ awọn buckets S3? Lati loye eyi, jẹ ki a jiroro lori Awọn ipa IAM.
Nitorinaa, ọna kan lati wọle si awọn iṣẹ AWS ni lati jẹ Olumulo kan. O dara, eyi jẹ kedere. Ṣugbọn kini ti o ba fẹ fun awọn iṣẹ AWS miiran, gẹgẹbi awọn olupin ohun elo rẹ, wọle si awọn buckets S3 rẹ? Iyẹn ni awọn ipa IAM jẹ fun. Wọn ni awọn ẹya meji:
- Eto imulo igbẹkẹle - kini awọn iṣẹ tabi eniyan le lo ipa yii?
- Ilana igbanilaaye - kini ipa yii gba laaye?
Fun apẹẹrẹ, o fẹ ṣẹda ipa IAM kan ti yoo gba awọn iṣẹlẹ EC2 laaye lati wọle si garawa S3 kan: Ni akọkọ, a ṣeto ipa naa lati ni Afihan Igbẹkẹle ti EC2 (gbogbo iṣẹ) tabi awọn iṣẹlẹ pato le “gba” ipa naa. Gbigba ipa kan tumọ si pe wọn le lo awọn igbanilaaye ipa lati ṣe awọn iṣe. Ni ẹẹkeji, Ilana Awọn igbanilaaye gba iṣẹ / eniyan / orisun ti o ti “mu ipa” lati ṣe ohunkohun lori S3, boya o n wọle si garawa kan pato… tabi ju 700 lọ, bi ninu ọran ti Olu Ọkan.
Ni kete ti o ba wa ni apẹẹrẹ EC2 pẹlu ipa IAM, o le gba awọn iwe-ẹri ni awọn ọna pupọ:
- O le beere fun apẹẹrẹ metadata ni
http://169.254.169.254/latest/meta-dataNinu awọn ohun miiran, o le wa ipa IAM pẹlu eyikeyi awọn bọtini iwọle ni adirẹsi yii. Dajudaju, nikan ti o ba wa ni apẹẹrẹ kan.
- Lo AWS CLI...
Ti o ba ti fi AWS CLI sori ẹrọ, o ti kojọpọ pẹlu awọn iwe-ẹri lati awọn ipa IAM, ti o ba wa. Gbogbo ohun ti o ku ni lati ṣiṣẹ NIPA apẹẹrẹ. Nitoribẹẹ, ti Eto imulo Igbẹkẹle wọn ṣii, Paige le ṣe ohun gbogbo taara.
Nitorinaa pataki ti awọn ipa IAM ni pe wọn gba diẹ ninu awọn orisun laaye lati ṣiṣẹ LORI RẸ lori Awọn orisun miiran.
Ni bayi ti o loye awọn ipa ti IAM, a le sọrọ nipa kini Paige Thompson ṣe:
- O ni iwọle si olupin naa (apẹẹrẹ EC2) nipasẹ iho kan ninu ogiriina
Boya o je aabo awọn ẹgbẹ / ACLs tabi ara wọn ayelujara ohun elo firewalls, wà iho jasi oyimbo rorun a plug, bi so ninu awọn osise igbasilẹ.
- Ni ẹẹkan lori olupin naa, o le ṣe “bi ẹnipe” o jẹ olupin funrararẹ
- Niwọn igba ti ipa olupin IAM gba S3 wọle si awọn buckets 700+ wọnyi, o ni anfani lati wọle si wọn
Lati akoko yẹn, gbogbo ohun ti o ni lati ṣe ni ṣiṣe aṣẹ naa List Bucketsati lẹhinna aṣẹ naa Sync lati AWS CLI...
. Idilọwọ iru ibajẹ ni idi ti awọn ile-iṣẹ ṣe nawo pupọ ni aabo amayederun awọsanma, DevOps, ati awọn amoye aabo. Ati bi o ṣe niyelori ati iye owo-doko ni gbigbe si awọsanma? Nitorinaa paapaa ni oju awọn italaya cybersecurity diẹ sii ati siwaju sii !
Iwa ti itan: ṣayẹwo aabo rẹ; Ṣe awọn iṣayẹwo deede; Bọwọ fun ilana ti o kere ju anfani fun awọn eto imulo aabo.
( O le wo ijabọ ofin ni kikun).
orisun: www.habr.com