黑客24小时在线接单网站

云安全是公共云制造商最关注的卖点之一，但对于企业用户来说，过于信任和盲目的云服务默认配置是一件非常危险的事情，企业安全架构师和云安全审计师需要对云计算初始环境的安全漏洞和配置错误进行综合评价和调整。

下面，我们列举微软Azure云计算环境TOP20常见账户和配置漏洞(初始默认配置)对企业选择其他类似的公共云服务也有一定的参考意义。

1. 可以从互联网访问的存储账户

Azure存储账户的默认设置允许访问任何地方（包括互联网）。这种设置自然会带来潜在的未经授权的数据访问、数据泄露、泄露等风险。

始终采用最小特权原则，只选择IP网络范围或地址vnet(Azure子网限制了对每个存储帐户的访问。

2. 存储账户的不安全传输

通过此设置，可以强制传输到存储的安全(加密)数据。这意味着任何不安全协议(如HTTP或SMB)但未加密的请求将被拒绝。

Azure存储账户的默认设置是接受任何协议，这不可避免地使云存储容易被窃听攻击。位置好的攻击者可能会窃听通信，并有权访问敏感或私人信息。

显然，加密数据传输应该用于所有存储帐户。

3. 特权用户缺乏多因素身份验证

对任何Azure任何拥有管理或写入资源权限的用户都应要求多因素身份验证(MFA)，包括以下角色：

               
• 管理员
               
• 服务联合管理员
               
• 订阅所有者
               
• 贡献者

使用MFA保护这些高特权账户很重要，因为它们很可能成为对手的攻击目标。

启用MFA之后，攻击难度增加，风险大大降低。

请注意，Microsoft Azure支持各种MFA一些解决方案和选项是免费的，其中一些是根据高级计划提供的，如：

               
• Azure多重身份验证
               
• 条件访问策略

无论如何，至少所有管理用户都被迫执行某种程序MFA。

4. 新加入设备缺乏多因素身份验证

要求所有用户在添加设备之前提供第二种身份验证方法Active Directory。

这是为了确保恶意设备通过入侵账户添加到目录中。

风险在于，攻击者可以在企业网络中添加不受控制和不合规的恶意设备，然后访问企业的应用程序和其他资源。

5. 免费版Azure安全中心

与免费(基础)版相比，付费增强版Azure安全中心增加了以下重要的安全功能：

               
• 威胁检测和威胁情报源
               
• 异常检测、行为分析和安全报警
               
• 机器学习功能可以识别新的攻击和零时差攻击
               
• 整个基础设施的漏洞扫描和漏洞管理
               
• 先进的访问和应用程序控制可以防止恶意软件和其他网络攻击

这些功能无疑有助于抵御某些网络攻击。虽然成本增加，但这些功能应用于每个生产环境。

6. 虚拟网络的基础DDoS保护

与基础DDoS与保护相比，增强标准DDoS保护提供了以下附加防御措施：

               
• 近实时遥测和交通监控
               
• 持续攻击报警和通知
               
• 自适应调整和流量分析
               
• 详细的攻击分析

以上措施有助于基于网络的防御DDoS攻击。在每个生产环境中都很重要vnet都应用标准 DDoS防御服务。

唯一的缺点是，这是一项高级功能，因此需要额外付费。

7. 未加密操作系统和数据磁盘

不用说，磁盘加密应该是每个生产环境、工作站、服务器和云环境的标准配置。

有时在云环境中称之为“静态加密”，Azure支持Windows和Linux VM磁盘加密：

               
• 在Windows环境，使用BitLocker
               
• 在Linux环境，使用DM-Crypt

根据Azure磁盘加密不应影响性能或增加任何成本。因此，没有理由不对所有磁盘进行加密，包括：

               
• 操作系统磁盘
               
• 数据盘
               
• 未连接磁盘

8. 安全中心缺乏电子邮件通知

在Azure生产环境不在云上运行Azure安全中心配置电子邮件通知可视为重大安全事故。

Azure安全中心应始终配备电子邮件地址和/或电话号码，以接收相关事件的通知，特别是当特定资源受到威胁时。

邮件通知应当在每个环境中都配置，并始终以很高的优先级进行监视。

9. Azure Monitor缺乏日志警报

Azure监控和报警服务允许创建定制的报警Azure定制云中部署的服务的具体需求。

如果使用相关的报警条件进行适当的配置，它可以提供环境问题的早期指示，而不是依赖于内置的Azure安全功能。

因此，在Azure在系统结构审查中，我们总是希望看到与环境相关的明确定义自定义警报列表。

我们可以使用以下内容Azure监控监控警报的示例列表：

               
• 指标值
               
• 记录搜索查询
               
• 活动日志事件
               
• 基础Azure平台运行状态
               
• 测试网站的可用性

10. Azure NSG入站规则配置为ANY

在NSG在定义防火墙规则时，常见的错误配置是协议、源或目标配置“ ANY”。

这种做法可能会导致流量超出预期流量的风险。对于攻击者来说，这些看似良性的配置往往是他们入侵的突破。

最好的办法是始终坚持最小特权的原则。防火墙规则只能通过具体协议定义明确的来源和目标地址来定义。

请注意，强烈建议具有应用程序感知能力Azure第七层防火墙在中间使用。第七层防火墙在整个过程中。Azure在网络(包括应用程序)中提供增强的安全功能。

11. 公共IP地址配置为Basic SKU

与基础(Basic)SKU相比，在Azure中将公共IP标准配置地址SKU(库存单位)具有以下优点:

               
• 真正的静态IP地址
               
• 默认安全，对入口流量不开放
               
• 允许区域冗余和分区(区域、地理等)
               
• 支持未来的扩张

对于基础SKU，主要的安全问题是整体开放性。默认情况下，分配有基础，除非防火墙特别保护。SKU的公共IP地址系统将完全暴露给外界。

不用说，这是任何生产环境中的禁忌。在生产环境中，所有公共场所IP地址应配置为Standard SKU，充分了解其网络流量。

请注意，一旦以任何方式配置IP此设置无法更改地址。因此，解决这一问题可能需要计划停机和迁移时间。

12. 动态服务公众IP地址

这本身并不是一个真正的安全漏洞，但对于任何面向公众的系统来说，这都是一个严重的错误配置。IP地址是动态的，这意味着它可以随时更改，如重新启动或DHCP租约续订后。而且，当它出现在公共可用的系统中时，它可能会破坏很多东西，比如：

               
• DNS记录
               
• 监控和日志报警
               
• 系统集成和互操作

这可能会导致不必要的可用性问题(例如DoS)。因此，始终强烈建议对任何面向公众的服务采用静态服务IP地址。

13. 可匿名阅读访问Blob存储

Azure Blob存储是在云上共享数据的一种强大而方便的方式。它支持以下三个访问控制级别)选项:

               
• 私人(无匿名访问)
               
• Blob(仅针对Blob匿名读取访问权)
               
• 容器(容器和Blob匿名读取访问权)

未经授权的访问数据、数据泄漏、泄漏等安全风险将访问级别分配为后两个选项(匿名阅读访问)。

所有生产环境都应在生产环境中进行Blob存储设置为私有，禁止匿名访问。

14. Azure AD访客数量很高

Azure Active Directory(AD)访客通常是由外部用户(如供应商、承包商、合作伙伴、客户和其他临时角色)创建的账户。

他们只是外人，所以请尽量减少他们的数量。

问题是，随着时间的推移，一些企业的访客不断积累，往往导致一些访客在失败后忘记取消访问权限，这是非常危险的。

访客账户往往成为攻击者在网络环境中的立足点，可能导致特权提权和Azure云环境中的其他问题。

因此，应始终检查访客账户的数量。事实上，CIS Benchmark甚至建议根本不使用访客用户。

这是我们用的Azure CLI找到所有来宾用户的方法：

azaduserlist--query"[?additionalProperties.userType=='Guest']"

15. Azure AD设置不安全访客用户

在Azure Active Directory拥有访客账户是一回事，为他们提供高特权是另一回事。

与功能齐全的内部成员用户相比，默认情况下，访客的特权非常有限，但在Azure AD访客也可以配置为与成员用户相同的特权！

配置通过外部协作设置(如上图所示)进行。上述配置将授予访客以下权限:

               
• 枚举所有其他用户和组(包括成员)
               
• 阅读所有注册企业应用程序的属性
               
• 邀请外部用户加入组织

从安全的角度来看，这当然是非常不安全的，除非有非常强硬的理由，否则应该尽快改变。

最后，建议完全取消访客账户。

16. 对Azure AD无限访问管理门户

Azure AD默认情况下，管理门户包含大量敏感信息，Azure AD任何用户都可以访问它。

这意味着可以作为标准(成员)用户登录https://portal.azure.com/并浏览，查看几乎所有设置、其他用户的详细信息、组成员身份、应用程序等。

这是一个重大的安全风险，应该受到限制。

17. Azure禁止使用身份保护功能

Azure身份保护为Active Directory用户账户增加了额外的保护，以降低登录（登录）的风险，如：

               
• 用户的异常行为
               
• 恶意软件链接的来源IP地址
               
• 用户账户泄露
               
• 试试密码喷射攻击
               
• 匿名源IP地址(例如Tor)

这些都有助于维持Azure AD强烈建议使用环境更安全的功能。

唯一的缺点是这是一个高级功能，会增加额外的成本。

18. Azure Network Watcher被禁用

Azure Network Watcher为理解和解决提供了一个关键的诊断和可视化工具Azure网络问题。

它还为NSG(网络安全组)Azure防火墙提供网络流分析，包括与特定的网络流分析VM数据包捕获和许多其他诊断功能。

该功能在默认情况下被禁用，建议用户在所有区域使用。

我们也可以使用以下方法Azure CLI检查Network Watcher的状态：

aznetworkwatcherlist

19. 未对所有Web强制执行应用程序流量HTTPS

从安全的角度来看，所有内外(开放)Web只接受安全(加密)HTTPS连接，这也是当今的安全标准。

HTTPS它提供了非常必要的安全、机密和隐私。

启用上述设置后，给定Azure Web不安全(纯文本)每次传入服务HTTP所有要求都将重定向HTTPS端口。

应该为所有Azure Web服务进行HTTPS配置。

对于Azure中间数据库应实施相同的策略，如：

               
• MySQL服务器
               
• PostreSQL服务器

应启用所有服务器“强制SSL连接”选项。

现在，你可能想知道该选择哪一个TLS?

NIST(美国国家标准技术研究所)和PCI不再推荐支付卡行业TLS版本1.0和1.1版本。所以，至少要一直选择TLS 1.2版。

20.Azure安全中心中的监视策略

CIS建议启用基准Azure以下监控策略：

计算和应用程序：

               
• 系统升级
               
• 操作系统漏洞
               
• 端点保护
               
• 磁盘加密
               
• 漏洞评估
               
• 自适应用程序控件

网络：

               
• 网络安全组(NSG)
               
• Web防火墙的应用程序(WAF)
               
• 下一代防火墙(NGFW)

数据：

               
• 储存加密
               
• SQL审核
               
• SQL加密

所有这些策略都应用于每个生产环境(设置为“ AuditIfNotExists”)。这些策略是正确的Azure基本安全监控云组件。

同时使用这些策略“监视代理程序自动设置”：

这将确保所有现有的所有现有虚拟机和任何新虚拟机的预配置都部署在环境中Azure监视代理。

总结

评估Microsoft Azure云环境的安全并不容易。和其他云技术一样，微软Azure这是一个复杂的话题。安全设置需要付出巨大的努力，了解多个技术领域，需要

Azure生态系统。你需要对许多领域有深入的了解，而不仅仅是Azure云本身。

由于整个云计算生态系统不断变化和发展，引入新功能，适应新要求，云安全是一个动态话题。

我希望这篇文章至少是对的Azure在云安全审计领域提供一些有用的见解，并在审计其他公共云安全时提供一些实用信息，以提高云基础设施的安全性。

【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv）获取授权】

戳这里，看作者更多的好文章