-
-
集权系列 | 4大风险面、16种攻击场景,网星安全带你探索集权的无限可能
-
发表于: 2024-8-22 15:21 2036
-
如何高效管理大规模计算资源?
身份如何安全验证与授权?
“集权设施”系统,全搞定
"集权设施" 是信息技术领域的一个关键概念,通常指的是一种计算系统,它具备集中的权威、决策和控制权,用于管理和协调大规模计算资源、网络资源以及身份验证和授权凭据。这些集权设施在现代 IT 基础设施中发挥着至关重要的作用,确保了复杂的系统能够高效运⾏、安全性能得到维护。具体实践中,集权设施包括但不限于以下几种:
1、Kubernetes:
Kubernetes是一个容器编排平台,它允许用户管理和协调容器化应用程序的部署、伸缩和维护。Kubernetes作为一个集权设施,能够管理数百个容器节点,并提供自动化的负载均衡、故障恢复和应用程序扩展。
2、AD域 (Active Directory):
AD域是微软的目录服务,用于集中管理用户、计算机和其他资源。它提供了身份验证和授权服务,允许用户访问网络资源,并管理安全策略。AD域是企业中常见的集权设施,有助于确保安全、一致的身份管理和访问控制。
3、vCenter:
VMware vCenter是用于管理虚拟化环境的集权设施。它能够管理和监控多个虚拟机主机,实现资源池化和虚拟机迁移,提高了资源的利用率和系统的灵活性。
4、Exchange:
Microsoft Exchange Server 是个消息与协作系统。可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。它还是一个协作平台。你可以在此基础上开发工作流,知识管理系统,Web系统或者是其他消息系统。 是一个主流的Internet协作应用服务器,适合有各种协作需求的用户使用。
5、Zabbix:
Zabbix是一种监控系统,允许管理员集中监视计算资源、网络性能和应用程序运行状态。作为一个集权设施,Zabbix提供了警报和自动化响应功能,有助于保持系统的可用性和性能。
6、堡垒机:
堡垒机是一种安全设备,用于管理对远程计算资源的访问。它可以集中管理授权和审计远程用户的访问,以确保安全性和合规性。
这些集权设施通常以金字塔结构的方式组织,自顶向下实施决策和控制,为整个系统提供了统一的管理和协调。这种集权化的管理方式不仅提高了效率,还有助于确保安全的访问控制功能,应对需求不断变化的大规模、复杂的IT基础设施。集权设施在信息技术领域的进步和演进将继续为现代IT基础设施的可维护性和可扩展性带来重大益处。
运维+攻击者,双重解析
打开集权设施“全知视角”
运维视角的10大特征
集中性,集权系统的主要特征是集中管理和控制。它们将相关的功能、数据或服务集成到一个中心位置,以便进行更有效的管理和监控。例如,集中认证系统管理用户的身份认证。
中央数据存储,数据在一个地方集中存储,而不是分散存储在多个地方。这有助于数据的一致性和集中备份。
标准化,集权系统通常采用标准化的方法和协议,以确保不同组件之间的互操作性。这有助于降低复杂性,并使系统更易于管理和维护。
集中管理,这些系统允许管理员从一个中心点管理和配置各个组件。管理员可以在一个地方进行修改,而不必分别管理每个组件。
安全性,由于集权系统涉及大量的敏感数据和关键功能,它们通常具有强大的安全性措施。这包括身份认证、授权、加密和访问控制。
自动化,自动化功能减少手动干预,提高工作效率。例如,企业资源规划(ERP)系统可以自动化业务流程。
可伸缩性,集权系统可以根据需要扩展。这使得它们适用于不同规模的组织。
监控和报告,便于管理员随时查看系统性能和问题。
数据备份和恢复,由于集权系统存储了重要的数据,它们通常具有数据备份和恢复机制,以应对数据丢失或损坏的情况。
互操作性,集权系统通常能够与其他系统和服务进行交互操作。这使得它们可以集成到整个企业的生态系统中。
攻击者视角的3大特征
集权设施拥有大量的用户凭据,这些凭据是控制员工账户的关键,获取它就等于获取了企业内每一个用户的身份,攻击者可以利用这些身份进行更深入的攻击,获取敏感的企业数据。
集权设施具有广泛的网络权限,这使得集权设施成为网络的核心,攻击者可以通过控制集权设施获取对整个企业网络的访问权限,就像拿到了整个城堡的钥匙。
集权设施可以控制大量的计算节点,这意味着攻击者通过控制集权设施来把控网络中的大部分资源,他们可以利用这些计算资源进行更大规模的攻击,或者利用这些资源来隐藏自己,使得追踪和防御变得更为困难。
11类企业级重要集权设施
一探究竟
集中认证和授权系统,集中认证和授权系统用于管理用户身份认证和授权,通常包括单点登录(SSO)系统。其集中处理用户的身份验证,并确保安全、可管理的用户访问企业资源。
集中存储和数据管理系统,集中存储和数据管理系统通常使用中央数据库或数据存储系统来管理和存储核心业务数据。这些系统通常集成了数据备份、恢复和安全性措施。
集中的日志和审计系统,日志和审计系统用于收集、存储和分析系统和应用程序的日志信息,以便进行安全审计和监控。这有助于及早发现异常活动。
企业资源规划(ERP)系统,ERP系统集成了企业各个方面的数据和流程,包括财务、人力资源、供应链管理等。这些系统通常在整个企业范围内实现集中管理。
电子邮件服务器和消息系统,邮件服务器和消息系统用于管理企业通信,包括电子邮件和即时消息。它们通常涉及到存储、加密和数据保护。
集中式存储区域网络(SAN),SAN用于存储和管理大容量数据的企业级存储解决方案。SAN系统通常用于支持数据库、文件存储和虚拟化环境。
云服务和数据中心管理系统,企业使用云服务和数据中心管理系统来管理和监控云基础架构和数据中心资源。这包括自动化、容量规划和性能管理工具。
除了上面7大企业级常见的集权设施,随着集权设施的发展,新一代的集权设施也逐渐应用到现在的大型企业中,其中包括了以下4类新的集权设施。
DevOps 开发运维一体化,覆盖应用开发、代码部署和质量测试等生命周期的集成化平台。
Monitor 性能监控,覆盖主机、网络、数据库、业务监控等维度的性能数据采集监控及告警。
AutoOps 自动化运维,覆盖服务器、云平台、数据库、中间件、网络设备等维度的自动化编排运维。
CMDB 配置管理,运维信息管理和自动化的基石,覆盖资源管理、业务管理、权限配置管理。
这些集权系统在企业中发挥着关键作用,具有便捷性、安全性和管理性,但也需要适当的安全措施来保护免受潜在威胁的侵害。不同的企业根据其需求和规模可能会使用不同的集权系统。
集权设施作为企业的核心基础设施,其构建拓扑也呈现出多种形态。
在以AD为核心的集权拓扑中,接入了大量的windows终端,服务器,用户管理,邮件系统,网络设备,单点登录等系统,呈现出以AD为集权中心,构建了一个有机的、高度协调的基础设施生态系统。这种集中化管理不仅提高了整个企业IT生态的效率,还确保了安全性和一致性,确保了业务的安全、高效运行。
以运管平台为核心拓扑中,接入了企业内下级多层门店、园区等设备,通过云管平台进行统一终端管理、运维、巡检,呈现以运管平台为核心的集中运维架构。
4大风险面、16种攻击场景
网星安全带你探索集权设施安全风险
通过上面对集权设施的介绍,可以看到集权设施在企业中的地位非常重要,因此在攻防过程中其地位也是非常重要,是攻击者的焦点。在过去几年,各种安全会议上,比如Blackhat,越来越多的攻击者把目标集中在集权设施上,例如AD、vCenter、k8s,这一类常见的集权设施均存在大量的攻击面。
AD安全风险面
员工离职或转移。员工离职或转移到其他部门可能会导致账号管理上的问题。如果账号未及时禁用或删除,离职员工可能会继续访问公司系统,从而导致安全问题。
帐户权限滥用。员工帐户可能会被滥用来访问敏感数据或系统资源。攻击者可能会通过利用弱口令或攻击漏洞等手段获取员工帐户的控制权,并从内部访问敏感数据或控制企业系统。
漏洞攻击。MS14-068(Kerberos漏洞)、MS17-010(SMB漏洞)、CVE-2020-1472(Netlogon远程协议漏洞)、Zerologon漏洞、DNS域传送漏洞、CVE-2021-42287(域内提权漏洞)。
身份伪造。攻击者可能会伪造员工帐户或冒充其他用户来获得访问权限。这可能会导致敏感数据泄露,系统资源受到破坏,以及其他安全问题。
vCenter安全风险面
未授权访问。如果管理员没有正确的配置访问权控制,攻击者可能会获取未经授权的访问权限并对系统进行恶意操作。未授权访问可能导致数据泄漏、数据篡改、拒绝服务攻击等。
账号与权限滥用。攻击者可能会通过社会工程学或钓鱼攻击等手段获取管理员的账号和密码,然后使用这些凭证来操纵vCenter系统和虚拟机。同时,管理员可能会为用户授予过多的权限,或者授予了不应该具备的权限,例如允许用户访问虚拟机的敏感数据或操作虚拟机。
漏洞攻击。CVE-2021-21985(vCenter Sever远程代码执行)、CVE-2020-3952(vCenter信息泄露漏洞)、CVE-2020-4006 |(VMware命令注入漏洞)、CVE-2019-5534(VMware ESXi身份绕过漏洞)。
虚拟机逃逸。攻击者可能会利用漏洞或其他技术手段从虚拟机中逃逸,并访问宿主机或其他虚拟机,以此获取到虚拟机主机或者vCenter Server的控制权限。
K8s安全风险面
错误配置。管理员可能会错误地配置角色、权限或访问控制策略,导致未经授权的用户获得访问权限或者授予了错误的权限。此外,暴露不必要的端口、使用不安全的协议、不正确地设置访问控制等都可能导致安全问题。
权限滥用。用户在没有授权或未经许可的情况下,利用其所拥有的特权或权限执行不当操作或者对集群资源进行滥用的行为。这些行为可能导致严重的安全问题,例如,一个用户可能在没有授权的情况下,创建了一个具有特权的容器或者Pod,然后利用该容器或Pod执行恶意操作,如窃取凭据、删除数据等。
漏洞攻击。CVE-2018-1002105(k8s特权提升漏洞)、CVE-2020-8554(k8s中间人劫持漏洞)、CVE-2019-11246(kubectl cp命令目录穿越漏洞)、CVE-2017-1002101(k8s文件系统逃逸漏洞)。
恶意镜像。k8s使用镜像来运行容器,但镜像可能包含恶意代码或者被篡改。攻击者可以利用恶意镜像在集群中执行任意恶意代码、窃取敏感信息、加密文件等。
Exchange安全风险面
凭据窃取。为了获取邮箱账户的凭据,攻击者会利用Exchange对外暴露的接口进行暴力破解、用户名枚举或漏利用洞创建恶意邮件转发规则、获取敏感信息,进一步渗透企业内部网络。
功能滥用。攻击者可能利用Exchange服务器功能进行恶意操作,如邮箱委托、创建转发规则、导出邮箱用户、邮件导出和邮件搜索、TransportAgent后门安装以及攻击域管。
漏洞攻击。CVE-2021-26855(ProxyLogon)、CVE-2022-41040(Exchange服务器端请求伪造漏洞)、CVE-2020-0688(Exchange反序列化远程代码执行漏洞)、CVE-2023-21529(Exchange远程代码执行漏洞)。
恶意邮件传播。攻击者可能会通过邮件附件或链接分发恶意软件或恶意脚本,感染用户计算机或服务器,导致数据泄露、加密勒索、系统资源滥用等问题。
此文我们介绍了什么是集权设施,集权设施的一些典型特征,企业中常见的集权设施,以及一些常见集权设施的安全风险,后续的篇章我们将逐一介绍企业中常见基础设施的攻击路径,在每个攻击路径中将着重讲解集权设施面临的攻击面,攻击场景,以及一些集权设施的漏洞原理。通过多角度的漏洞利用,让集权设施的攻击面暴露到最大。