警告:AWS IAM的行为与目录服务不同 CityFibre在米尔顿凯恩斯开关千兆,名称爱丁堡基础设施领先 议会法案创建英国先进的研究和发明机构 戴尔投注继续回家致力于推动PC需求 低复杂性cves一个日益令人担忧 私募股权购买McAfee Enterprise Business 巨大的:MS Exchange错误首次在1月份开发 英国面临着重要的网络人才短缺 Ovhcloud在Strasbourg Datacentre Campus射击之后没有伤亡 用恶意电子邮件轰炸金融监管机构 贷款费用小组MPS需求IR35 Shapl-Up以阻止承包商成为“零权利员工” Hackney委员会招标网络安全升级 Alstom Global网络与数字未来的BT追踪 近70%的IT员工表示,致力于技术性别多样性的公司 微软与英国启动团队启动,以尽量减少航空业对气候变化的影响 政府推出数字身份信任框架 Facebook数据泄漏可能在GDPR的范围之外 北欧国家推出联合无人发展倡议 加拿大的罗杰斯和Shaw宣布了260亿美元的合并 西北英国“完善”的技术创业区增长区 NHS商业服务管理局推出数字战略 HMRC批评贷款收费政策响应的持续的“缺点” BT为橡木国家学院提供数据收取的数据 Qualcomm揭示成功的5G MMWAVE数据调用测试 BT对竞争对手的覆盖索赔作为O2,EE屈服于O2,EE延长了英国5G网 HMRC被指控过度使用IT承包商的“彻底虚伪”避税计划的承包商 BT连接荷兰外交官 CW创新奖:JIO平台轻拍机器学习管理电信网络 Solarwinds在违规调查中追逐多个引线 IR35改革:MPS呼吁政府清理英国的“狂野西部”劳动力供应链 未分割的SAP应用是富有的黑客地面 电台的需求优先于5G网中优先考虑效率和可持续性 IR35改革:政府在伞监管中的缓慢进展使其承包商达到税收风险 四个英国企业中有四个寻求新的安全供应商 Telia将爱立信5G改变为工业检验,因为项目驯鹿运行 对监控摄像机的攻击警告安全性,道德规范 福特使Google更优先的云合作伙伴进行下一代连接的汽车推送 谷歌和西门子将力量联合在工业边缘地址地址 使用数字单位来盯着下一步服务 南威尔士州的运输通过扩张违规行为 澳大利亚公司慢慢地关闭大型机 在凭据填充攻击后,npower关闭了应用程序 Mod报告数据丢失事件的增加18% 在5G核心网络切片设计中检测到“主要”安全漏洞 为什么微软19亿美元收购细微差别是有道理的 政府新鲜AI战略计划 保守派将数据法分为种族方式百万 阿姆斯特丹应用科学大学结合了AI和练习 IBM刷新与小NVME的入门级闪存阵列 软件开发人员如何制作更多面团
您的位置:首页 >大数据 >

警告:AWS IAM的行为与目录服务不同

来自以色列安全公司LightSpin的研究人员已经确定了在Amazon Web服务(AWS)上配置身份和访问控制服务的问题,这些功能可能会让许多组织易受攻击。

提出的问题不仅说明了误解AWS的容易,而且突出了成熟的Active Directory部署之间的差距以及如何迁移到云原始IT架构。

LightSpin表示已发现AWS身份和访问管理(IAM)规则在基于Windows的安全或其他授权机制中的Microsoft Active Directory中的规则与规则相同。

在描述风险的博客文章中,CTO或Aza​​rzar描述了安全管理员如何为Windows组设置显式权限,该组不能被该组的用户覆盖。“然后我们看看IAM,那不是这种情况,”他说。

这意味着即使管理员明确讨论该组拒绝对某些人的访问,即使配置只影响组动作,而不是组的成员。Azarzar警告说,没有传播到inpidual用户的组政策的含义未传播到inpidual用户,达到了错误配置和漏洞。

风险是安全管理员可能错误地假设在AWS上配置IAM的过程与Windows上的Active Directory相同。

AWS IAM用户和组策略之间的这种差距可以被攻击者利用,以接管帐户,删除组成员,窃取数据并关闭服务。LightSpin声称其研究团队能够通过使用这种技术来损害数十个账户。

AWS表示,IAM所需的方法是通过设计,而不是错误。AWS将组视为单独的对象。这意味着IAM在拒绝规则方面,这意味着IAM不会将用户视为一个组的一部分。

AWS IAM和Active Directory之间的差异意味着组织在复制规则时需要密切关注。

从稻草民意调查LightSpin RAN,大多数组织没有考虑到AWS IAM行为与Active Directory相比的不同方式,这表明大多数企业需要仔细查看他们的AWS身份和访问控制。

“最初,我们相信这种脆弱性是一个孤立的案例,”Lightpin Ceo的首席执行官Vladi Sandler说。“但是,在进一步调查时,我们发现在许多情况下,用户可以执行系统管理员在康复组安全配置时被拒绝的动作。这使得用户的账户被认为是安全的,容易渗透的。“

LightSpin发现,联系的组织的一半不正确的AWS IAM配置,如果用户的帐户被黑客攻击,则可能会受到损害。

IT行业普遍认识到难以将成熟的内部部署Active Directory部署迁移到公共云。传输用户配置文件和保留访问和策略控制可能是错误的。LightSpin示例仅说明了迁移假设可以让组织处于风险的方便。

该公司开发了一个开源扫描仪,报告用户权限是松散定义的,打开黑客的攻击路径。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。