কীভাবে কোনও আক্রমণকারী এডাব্লুএসে আপনার অ্যাপ্লিকেশনটি লঙ্ঘন করতে ইনস্ট্যান্স মেটাডেটা ব্যবহার করতে পারে

২২ মার্চ ২০২২

লিখেছেন থ্যাগা বাসুদেবন - প্রোডাক্ট ম্যানেজমেন্টের ভিপি, Skyhigh Security

আপনার এন্টারপ্রাইজ অ্যাপ্লিকেশনগুলির জন্য ক্লাউড-নেটিভ আর্কিটেকচারে চলে যাওয়া অসাধারণ ব্যবসায়িক মান সরবরাহ করতে পারে, সার্ভার অবকাঠামো প্যাচিং এবং আপগ্রেড করার মতো কঠিন কাজগুলি অফ-লোড করার সময় স্কেল এবং তত্পরতা যুক্ত করতে পারে।

তবে, প্রতিটি ক্লাউড পরিবেশে, অ্যামাজন ওয়েব সার্ভিসেস (এডাব্লুএস), অ্যাজুর বা গুগল ক্লাউড হোক না কেন, ঝুঁকির একটি নতুন বিভাগ রয়েছে। ক্লাউড-নেটিভ হুমকিগুলি ক্লাউড পরিবেশে আপনার নতুন প্রসঙ্গ এবং কনফিগারেশন প্রয়োজনীয়তা থেকে উদ্ভূত হয়। .তিহাসিকভাবে, স্টোরেজ অবজেক্টগুলিতে জনসাধারণের অ্যাক্সেসের মতো ডিফল্ট সেটিংস সংবেদনশীল ডেটা উন্মুক্ত করে দিয়েছে, এই দুর্বলতাগুলির জন্য ক্রল করা যে কেউ চুরি করা সহজ।

ক্লাউড সরবরাহকারীদের দ্বারা নতুন ক্ষমতা যুক্ত হওয়ার সাথে সাথে নতুন সেটিংস ক্রমাগত প্রবর্তিত হওয়ার সাথে সাথে একটি নতুন পরিবেশে ভুল করা সহজ। আপনার ক্লাউড পরিবেশের কনফিগারেশন সর্বদা আপনার দায়িত্ব। আপনি কীভাবে তাদের পরিষেবাগুলি ব্যবহার করেন তার উপর AWS এবং অন্যদের কোনও নিয়ন্ত্রণ নেই। এগুলি আপনার তৈরি করার জন্য একটি টেমপ্লেট।

আপনার কনফিগারেশনগুলির ফলাফল এবং আপনি কীভাবে ক্লাউড-নেটিভ অ্যাপ্লিকেশনগুলি তৈরি করেন তা না বোঝার ফলে বিপর্যয়কর পরিণতি হতে পারে। এবং এমনকি সবচেয়ে সচেতন ক্লাউড গ্রাহকরাও এই পরিণতির শিকার হতে পারেন।

প্রায় তিন বছর আগে ক্যাপিটাল ওয়ান যে লঙ্ঘনের শিকার হয়েছিল তা হ'ল যেখানে একজন আক্রমণকারী 100 মিলিয়ন মার্কিন ব্যক্তির সামাজিক সুরক্ষা নম্বর এবং 6 মিলিয়ন কানাডিয়ান ব্যক্তির সামাজিক বীমা নম্বরগুলিতে অ্যাক্সেস পেয়েছিল। আক্রমণকারী ডেটা অ্যাক্সেস পেতে বেশ কয়েকটি কৌশল ব্যবহার করেছিল, তবে আক্রমণ থেকে একটি মূল শিক্ষা ছিল যে ভার্চুয়াল মেশিনগুলিতে অ্যাক্সেস সুরক্ষিত করার জন্য ডিজাইন করা একটি সুরক্ষা বৈশিষ্ট্য - ইলাস্টিক কম্পিউট ক্লাউড বা ইসি ইনস্ট্যান্স - আক্রমণকারীকে যুক্ত করেছে। ফিচারটির নাম ইনস্ট্যান্স মেটাডেটা সার্ভিস বা আইএমডিএস।

ইনস্ট্যান্স মেটাডেটা আক্রমণ

আইএমডিএস (আইএমডিএসভি 1) এর সংস্করণ 1 2012 সালে প্রকাশিত হয়েছিল যাতে ইসি 2 উদাহরণগুলি অন্যান্য এডাব্লুএস পরিষেবাদির সাথে ইন্টারঅ্যাক্ট করার জন্য আরও সুরক্ষিত উপায়ের অনুমতি দেয়। উদাহরণে এডাব্লুএস কীগুলি ছেড়ে যাওয়ার পরিবর্তে, গ্রাহকরা এখন শংসাপত্রগুলি পেতে এবং অন্যান্য এডাব্লুএস পরিষেবাগুলিতে এডাব্লুএস এপিআই কল করতে মেটাডেটা পরিষেবাটি ইসি 2 ইনস্ট্যান্স জিজ্ঞাসা করতে পারেন। উদাহরণস্বরূপ, যদি কোনও ইসি 2 উদাহরণ কিছু গ্রাহকের ডেটা পেয়ে থাকে তবে এটি অ্যামাজন সিম্পল স্টোরেজ সার্ভিস (এস 3) বালতিতে সেই ডেটা সংরক্ষণ করতে আইএমডিএসভি 1 ব্যবহার করতে পারে। ক্যাপিটাল ওয়ান গ্রাহকদের সম্পর্কে তথ্য সংরক্ষণের জন্য ব্যবহৃত একটি এস 3 বালতি থেকে সংবেদনশীল তথ্য টানতে আক্রমণকারী এই সঠিক ক্ষমতাটি ব্যবহার করেছিল।

আমাদের নিজস্ব পরীক্ষায় আমরা নকল করতে সক্ষম হয়েছি যে ডেটা নিষ্কাশন কোনও অ্যাপ্লিকেশনে কীভাবে কাজ করতে পারে। আমাদের উদাহরণে, মহামারী বিশেষজ্ঞদের একটি দল একটি ভাইরাস জিনোম বিশ্লেষণ করে তাদের অগ্রগতি দেখানো ডেটা দৃশ্যমানভাবে উপস্থাপন করার জন্য একটি পাবলিক ড্যাশবোর্ড সহ এডাব্লুএসে একটি ক্লাউড-নেটিভ অ্যাপ্লিকেশন তৈরি করেছে।

এই অ্যাপ্লিকেশনটির বিকাশের পর্যায়ে, দলটি একটি চ্যালেঞ্জের মধ্যে পড়েছিল। তাদের ভার্চুয়াল প্রাইভেট ক্লাউডের (ভিপিসি) বেশিরভাগ সংস্থান ইন্টারনেট থেকে লুকানো থাকার কথা ছিল। জনসাধারণের দেখার উদ্দেশ্যে তাদের ভিপিসিতে একমাত্র সংস্থান ছিল ড্যাশবোর্ড।

এস 3 বালতি হোস্টিং তাদের ডেটা ব্যক্তিগত থাকার প্রয়োজন। এস 3 থেকে পাবলিক ড্যাশবোর্ডে ডেটা টানতে, তারা একটি বিপরীত প্রক্সি যুক্ত করেছে, মধ্যস্থতাকারী হিসাবে কাজ করে। এটি তাদের অ্যাপ্লিকেশনটিতে এটি যুক্ত করতে একটি দ্রুত গুগল অনুসন্ধান এবং কয়েক লাইনের কোড নিয়েছিল।

মহামারী বিশেষজ্ঞদের দলের জন্য, বিপরীত প্রক্সিটি একটি মৌলিক, মার্জিত সমাধান ছিল যা তাদের ব্যবহারের ক্ষেত্রে পুরোপুরি কাজ করেছিল। তারা যা বুঝতে পারেনি তা হ'ল এটি তাদের একটি বিশাল লঙ্ঘনের জন্য সেট আপ করেছে।

বিপরীত প্রক্সি চালিত গণনা উদাহরণটি তাদের ব্যক্তিগত এস 3 বালতি অ্যাক্সেস করার অনুমতি সহ একটি আইএএম ভূমিকা অর্পণ করা হয়েছিল। এস 3 অ্যাক্সেস করার জন্য বিপরীত প্রক্সির শংসাপত্রগুলি ইনস্ট্যান্স মেটাডেটা থেকে প্রাপ্ত হয়েছিল।

একজন আক্রমণকারী সাইটটি পরিদর্শন করে এবং তাদের ডেটা সম্পর্কে আগ্রহী লক্ষ্য করে যে দলটি ড্যাশবোর্ডে বিপরীত প্রক্সিটির আইপি ঠিকানা উল্লেখ করেছে। আক্রমণকারী তখন তারা এটির সাথে সংযোগ স্থাপন করতে পারে কিনা তা পরীক্ষা করে দেখে। তাদের সংযোগ নিশ্চিত করার পরে, আক্রমণকারী তখন বিপরীত প্রক্সির মাধ্যমে ইনস্ট্যান্স মেটাডেটা অ্যাক্সেস করতে পারে কিনা তা পরীক্ষা করে দেখে। সাফল্য।

বিপরীত প্রক্সির মাধ্যমে এবং ইনস্ট্যান্স মেটাডেটা থেকে, আক্রমণকারী দলের ব্যক্তিগত এস 3 স্টোরেজ বালতিতে শংসাপত্রগুলি উন্মোচন করেছিল।

এখন, এস 3 বালতিতে অ্যাক্সেসের সাথে, আক্রমণকারী তাদের অ্যাপ্লিকেশনটির জন্য দলটি সংরক্ষণ করা অত্যন্ত সংবেদনশীল ডেটা চুরি করতে পারে। আক্রমণকারী কেবল অন্য এডাব্লুএস অ্যাকাউন্টে তাদের নিজস্ব এস 3 বালতিতে টার্গেট এস 3 বালতিটি সিঙ্ক করেছিল এবং ডেটা তাদের ছিল।

এই ধরণের আক্রমণটি ক্লাউড পরিবেশের জন্য তাদের এটিটি এবং সিকে ফ্রেমওয়ার্কে এমআইটিআরই দ্বারা বর্ণিত 43 টি কৌশলগুলির মধ্যে একটি: https://attack.mitre.org/matrices/enterprise/cloud/

এডাব্লুএস কীভাবে ইনস্ট্যান্স মেটাডেটা আক্রমণগুলি প্রশমিত করে

এই পরিষেবাটির সুরক্ষা উন্নত করতে, এডাব্লুএস আইএমডিএসভি 2 প্রকাশ করেছে, যা সুরক্ষার বেশ কয়েকটি নতুন স্তর যুক্ত করে।

আইএমডিএসভি 2-তে, বাহ্যিক ব্যবহারকারীদের শংসাপত্রগুলি গ্রহণ থেকে অবরুদ্ধ করা হয়, কেবলমাত্র অ্যাপ্লিকেশন সংস্থানগুলি সেগুলি গ্রহণ করার অনুমতি দেয়। সুরক্ষার এই স্তর এবং আইএমডিএসভি 2 সম্পর্কে এখানে আরও পড়ুন: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

যাইহোক, চ্যালেঞ্জটি রয়ে গেছে যে আইএমডিএসভি 1 এখনও বেঁচে আছে। এডাব্লুএসে এমন কিছুই নেই যা গ্রাহকদের আইএমডিএসভি 1 ব্যবহার থেকে বিরত রাখে এবং আপনি এখনও আপনার সমস্ত ইসি 2 উদাহরণের জন্য ডিফল্টরূপে এটি ব্যবহার করতে পারেন। যেমনটি আমরা আগে উল্লেখ করেছি, আপনি নিরাপদে ক্লাউড ব্যবহার করছেন তা নিশ্চিত করা এডাব্লুএসের দায়িত্ব নয়। এই দায়িত্ব একান্তই গ্রাহকের ওপর।

আমরা সবেমাত্র বর্ণিত আক্রমণে, বাহ্যিক অনুরোধগুলি অভ্যন্তরীণ সংস্থানগুলিতে পৌঁছানোর অনুমতি দেওয়ার জন্য বিপরীত প্রক্সিটি ভুলভাবে কনফিগার করা হয়েছিল। যদি দলটি আইএমডিএসভি 2 ব্যবহার করার জন্য তাদের গণনা উদাহরণটি কনফিগার করে থাকে তবে বাহ্যিক হুমকি অভিনেতা দ্বারা অননুমোদিত অ্যাক্সেস অবরুদ্ধ করা হত।

স্কাইহাই ক্লাউড নেটিভ অ্যাপ্লিকেশন সুরক্ষা কীভাবে সহায়তা করতে পারে

এ Skyhigh Security, আমাদের বেশ কয়েকটি পদ্ধতি রয়েছে যা আপনাকে এই জাতীয় আক্রমণগুলি সনাক্ত এবং প্রতিরোধ করতে সহায়তা করতে পারে। স্কাইহাই ক্লাউড নেটিভ অ্যাপ্লিকেশন প্রোটেকশন প্ল্যাটফর্ম (সিএনএপিপি) হ'ল আমাদের ক্লাউড-নেটিভ সুরক্ষা প্ল্যাটফর্ম যা আপনাকে এডাব্লুএস, অ্যাজুর, জিসিপিতে কনফিগারেশনগুলি নিরীক্ষণ এবং আপডেট করতে দেয় এবং আপনি এখানে পড়তে পারেন এমন বিস্তৃত অতিরিক্ত সুরক্ষা ব্যবস্থা সহ।

এডাব্লুএসের সাথে সরাসরি এপিআই-ইন্টিগ্রেশন ব্যবহার করে, স্কাইহাই সিএনএপিপি ক্রমাগত অ্যামাজন ক্লাউডওয়াচ - একটি অ্যাপ্লিকেশন এবং অবকাঠামো পর্যবেক্ষণ পরিষেবা - প্রতিটি ইসি 2 উদাহরণে আপনি আইএমডিএসের কোন সংস্করণ ব্যবহার করছেন তা নির্দেশ করতে পর্যবেক্ষণ করে।

যখন ক্লাউডওয়াচ সক্রিয়ভাবে আইএমডিএসভি 1 ব্যবহার করে কোনও উদাহরণ লগ করে, স্কাইহাই সিএনএপিপি একটি সুরক্ষা ঘটনা তৈরি করে, আপনাকে আইএমডিএসভি 2 এ আপনার কনফিগারেশন আপডেট করার জন্য অবহিত করে, যা বাহ্যিক ব্যবহারকারীদের দ্বারা আপনার শংসাপত্রগুলিতে অননুমোদিত অ্যাক্সেস রোধ করবে।

সমস্ত স্থানীয় কোড এবং ব্যবহারকারীদের জন্য আপনার ইসি 2 দৃষ্টান্তগুলিতে আইএমডিএসভি 2 প্রয়োগ করা সর্বোত্তম অনুশীলন। একবার আপনি নির্দিষ্ট করে দেন যে আইএমডিএসভি 2 অবশ্যই ব্যবহার করা উচিত, আইএমডিএসভি 1 আর কাজ করবে না। এখানে আইএমডিএসভি 2 ব্যবহার করতে আপনার উদাহরণগুলি কীভাবে কনফিগার করবেন সে সম্পর্কে এডাব্লুএসের ধাপে ধাপে নির্দেশাবলী রয়েছে।

এই আক্রমণের উদাহরণের বাইরে, স্কাইহাই সিএনএপিপি আপনাকে আপনার ক্লাউড-নেটিভ অ্যাপ্লিকেশনগুলি সুরক্ষিত করার জন্য সেরা অনুশীলনগুলির একটি সিরিজ বাস্তবায়ন করতে দেয়:

• ক্রমাগত আপনার কনফিগারেশন নিরীক্ষণ করুন। স্কাইহাই সিএনএপিপির সাহায্যে আপনি উত্পাদনে প্রবেশের আগে এডাব্লুএস ক্লাউডফর্মেশন টেম্পলেটগুলি স্ক্যান করতে পারেন এবং তারপরে সময়ের সাথে সাথে আপনার কনফিগারেশনে কোনও "ড্রিফট" সনাক্ত করতে পারেন। এটি আপনাকে ভুল কনফিগারেশনগুলি সনাক্ত করতে এবং সংস্থান অনুমতির জন্য সর্বনিম্ন-বিশেষাধিকার মডেল প্রয়োগ করতে দেয়।
• শূন্য-বিশ্বাস প্রয়োগ করুন। একটি পদ্ধতি হিসাবে শূন্য-বিশ্বাস ব্যবহার করুন, যেখানে শুধুমাত্র নির্দিষ্ট সংস্থানগুলি একে অপরের সাথে চালানোর এবং যোগাযোগের অনুমতি দেওয়া হয়। বাকি সবই অবরুদ্ধ।
• কোড দুর্বলতার জন্য স্ক্যান করুন। বিশেষত ডকারের মতো ওপেন সফ্টওয়্যার বিতরণ মডেলগুলির সাথে, অবিচ্ছিন্ন ভিত্তিতে দুর্বলতার জন্য আপনার অ্যাপ্লিকেশন সংস্থানগুলি নিরীক্ষণ করা গুরুত্বপূর্ণ।
• অসঙ্গতি এবং হুমকি সনাক্ত করুন। ব্যবহারকারী এবং সত্তা আচরণ বিশ্লেষণ (ইউইবিএ) এর সাহায্যে আপনি শংসাপত্র চুরির মতো অস্বাভাবিক ক্রিয়াকলাপ এবং আসল হুমকিগুলি উন্মোচন করতে লক্ষ লক্ষ ক্লাউড ইভেন্টগুলি মূল্যায়ন করতে পারেন।
• স্টোরেজ অবজেক্টগুলিতে ডিএলপি চালান। এডাব্লুএসের মধ্যে আপনার অনুমোদিত অন্য কোনও ক্লাউড পরিষেবা, আপনার নেটওয়ার্ক বা এন্ডপয়েন্টগুলির মতোই আপনি আপনার ডেটা এস 3 এর মধ্যে শ্রেণিবদ্ধ করতে পারেন এবং চালানো উচিত data loss prevention বহিষ্কারের প্রচেষ্টা বন্ধ করতে।

আপনার নিজের প্রতিষ্ঠানে এই ব্যবস্থাগুলি বাস্তবায়নের বিষয়ে কথা বলতে আমাদের সাথে যোগাযোগ করুন।