首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

云环境的横向移动技术与场景剖析

这种方法并不会授予威胁行为者针对目标实例上运行时环境的访问权限(包括内存的数据实例云元数据服务可用的数据,如IAM凭据等),但却允许威胁行为者访问存储目标实例磁盘上的数据。...这是一个很好的例子,足以证明IAM凭证允许访问计算实例(例如,容器RDS数据库)的强大能力。 EC2实例,威胁行为者还可以发现存储磁盘的其他明文凭证,尤其是私有SSH密钥AWS访问令牌。...Azure:VMAcess扩展 另外一种值得注意的横向移动技术就是利用Azure的VMAccess扩展,VMAccess扩展可以用于重置对虚拟机(VM)的访问,其Linux VM的功能之一包括更新用户的...具备高级权限云凭证的威胁行为者可以使用此扩展并通过重置指定VM特定用户的SSH密钥来访问VM,此操作需要在Azure CLI执行,相关命令如下: 该技术还可以扩展为攻击同一资源组多个VM的特定用户...GCP:SSH密钥身份验证 GCP,串行控制台依赖于SSH密钥身份验证,需要将公共SSH密钥添加到项目或实例元数据

12210

通过Kyverno使用KMS、Cosign工作负载身份验证容器镜像

它是一个软件,允许用户定义一组可以用来验证、改变(mutate)生成 Kubernetes 资源的策略。作为 CNCF 的一个沙箱项目,Kyverno 开始得到社区的支持关注。...GCP KMS 是一种云服务,用于管理其他谷歌云服务的加密密钥,以便企业可以实现加密功能。云密钥管理服务允许单个集中式云服务创建、导入管理加密密钥并执行加密操作。...工作负载身份[10]允许 GKE 集群的 Kubernetes 服务帐户充当 IAM 服务帐户。...使用工作负载身份允许你为集群的每个应用程序分配不同的、细粒度的身份授权。...当你集群上启用工作负载身份时,GKE 会自动为集群的 Google Cloud 项目创建一个固定的工作负载身份池。工作负载身份池允许 IAM 理解信任 Kubernetes 服务帐户凭证。

4.8K20
您找到你想要的搜索结果了吗?
是的
没有找到

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

值得注意的是,并非访问所有云服务,都经历身份认证环节:一些云服务允许跳过身份认证流程,例如对象存储服务,这类服务可以配置允许匿名用户的请求。...Step 4:当请求通过身份验证以及授权校验后,IAM服务将允许进行请求的操作(Action)。常见的操作有:查看、创建、编辑删除资源。...遵循最小权限原则:使用 IAM用户角色创建策略时,应遵循授予”最小权限”安全原则,授予执行任务所需的权限。...明确用户以及角色需要执行的操作以及可访问的资源范围后,授予执行任务所需的最小权限,不要授予更多无关权限。...云服务器实例上使用角色而非长期凭据:一些场景,云服务实例上运行的应用程序需要使用云凭证,对其他云服务进行访问。为这些云服务硬编码长期凭据将会是一个比较危险的操作,因此可以使用 IAM角色

2.6K41

每周云安全资讯-2022年第31周

1 对Kubernetes 的 AWS IAM Authenticator的身份验证利用 在这篇博文将介绍 AWS IAM Authenticator 检测到的三个漏洞,所有这些漏洞都是由同一代码行引起的...,关于AWS EC2实例中使用错误配置、公开允许IAM策略应用程序安全漏洞getshell https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA 3...用户允许登录注册功能。身份池(联合身份)允许经过身份验证未经身份验证的用户使用临时凭证访问 AWS 资源。...此功能允许 AWS 账户之外的工作负载您的 AWS 账户担任角色并访问 AWS 资源。...这种日益流行的趋势意味着组织应该已经开始关注将 K8s 集成到其运营的网络安全影响。然而,当威胁行为者将目光投向 K8s 时,仅仅了解基础知识是不够的。

1.1K40

Google Workspace全域委派功能的关键安全问题剖析

安全 管理 Google Workspace提供基于角色的访问控制(RBAC)功能,允许管理员向用户分配特定角色,并根据他们的职责需求向他们授予预定义的权限集。...GCPGoogle Workspace之间链接的一种常见场景,就是一个托管GCP的应用程序需要跟Google Workspace的某个服务进行交互时,这些服务包括: Gmail; Calendar...全域委派是Google Workspace的一项功能,它允许GCP服务帐号访问Google Workspace用户的数据,并在特定域内代表这些用户来执行操作。...其中,服务帐号密钥日志将显示GCP日志,而Google密钥生成API调用执行日志将显示Google Workspace日志。...在下图中,显示了一个Cortex Web接口的XQL查询,该查询可以GCP审计日志搜索服务账号的密钥创建行为: 等价的Prisma Cloud RQL语句: 下图显示的是查询服务账号授权日志的XQL

12410

基于AWS EKS的K8S实践 - 集群搭建

\ --role-name eks-cluster-role 通过上述三个步骤即可创建成功,IAM控制台可以看到我们刚刚创建角色,如下图: VPC准备 这里创建一个VPC,VPC创建的时候一定要启动...创建集群 配置集群,主要用来指定集群的名称集群服务角色 2....准备EC2的role 将以下内容复制到名为 ec2-trust-policy.json 的文件,并创建角色test-eks-manage-role { "Version": "2012-10-17...准备节点Role 将以下内容复制到名为 ec2-trust-policy.json 的文件,并创建角色AmazonEKSNodeRole { "Version": "2012-10-17",...节点组配置,这里主要指定节点组里面节点的数量大小,实例类型等参数,如下图: 通过上图可以看到我们的模板已经指定好了AMI、磁盘实例类型,这里所以是灰色的无法选择。 3.

42340

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

功能介绍 · 诊断评估AWS实例元数据服务的当前使用情况,并了解该服务的工作方式; · 升级到实例元数据服务v2(IMDSv2),以防范针对v1的攻击向量; · 专门更新实例使用IMDSv2; ·...本质上来说,AWS元数据服务将允许用户访问实例的所有内容,包括实例角色凭据和会话令牌等。实例元数据是有关用户实例的数据,可以用来配置或管理正在运行的实例实例元数据可划分成不同类别。...重要注意的是,虽然用户只能从实例自身内部访问实例元数据用户数据,但数据并未进行加密保护。可访问实例的人员均可查看其元数据。...要随时添加一个新客户,用户只需为该客户创建一个存储桶,将客户的内容添加进去,然后启动用户的 AMI 即可。如果用户同时启动多个实例,则用户数据可供该预留的所有实例使用。...discover-role-usage 通过对实例及其使用的角色的总结,我们可以很好地了解更新元数据服务本身时必须注意的事项: Options: -p, --profile TEXT Specify

86730

ec2安装CloudWatchAgent

一、背景二、创建IAM角色用户三、配置CloudWatch代理日志保留策略四、下载并安装代理安装包五、创建CloudWatch代理配置文件六、运行CloudWatchAgent参考 一、背景...二、创建IAM角色用户 创建 IAM 角色用户以用于 CloudWatch 代理。...1.创建角色 勾选CloudWatchAgentServerPolicy,点击下一步: 输入角色名CloudWatchAgentServerRole,创建角色: 2.创建用户 勾选直接附加策略...需要注意的是,CloudWatch默认回收机cpu使用情况,另外我们需要采集监控磁盘RAM使用情况,所以创建配置文件交互过程中选择基本或者标准基本够用。...2.检查CloudWatch代理是否正常运行 linux服务器上执行: sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl

38120

具有EC2自动训练的无服务器TensorFlow工作流程

此外,将添加创建EC2实例所需的策略: EC2 —创建并运行实例。 CloudWatch —创建,描述启用警报,以便可以训练完成后自动终止实例。...ECR —允许提取Docker映像(EC2会使用,而不是Lambda函数使用)。 IAM —获取,创建角色并将其添加到实例配置文件。...从控制台启动EC2实例并选择IAM角色时,会自动创建此配置文件,但是需要在功能内手动执行此操作。 安全说明:部署到生产环境之前,应将这些策略的范围缩小到所需的资源 # ......打开Dockerfile进行编辑,并如下所示进行更新,其用途如下: 从标准的Python 3.7基本映像开始 创建一个新用户 lambdaautotraining Jupyter笔记本需求文件复制...AWS,打开Lambda,DynamoDB,S3EC2的服务页面并执行以下操作: Lambda:输入为空时触发火车功能 EC2:验证实例是否创建了适当的警报 DynamoDB:验证模型信息已更新

12.5K10

如何使用Domain-Protect保护你的网站抵御子域名接管攻击

该工具支持实现以下两个目标: · 扫描一个AWS组织的Amazon Route53,并获取存在安全问题的域名记录,然后尝试执行域名接管检测; · 可以通过Domain Protect for GCP检测...如需启用,请在你的tfvars文件或CI/CD管道 创建下列Terraform变量: lambdas = ["alias-cloudfront-s3", "alias-eb", "alias-s3",...ns-domain", "ns-subdomain", "cname-azure", "cname-google", "a-storage"] 通知 针对扫描到的每种漏洞类型通过Slack通知 ,枚举出账号名称漏洞域名...; 订阅SNS主题,发送JSON格式的电子邮件通知,其中包含帐户名、帐户ID存在安全问题的域名; 工具要求 · 需要AWS组织内的安全审计账号; · 组织的每个AWS帐户都具有相同名称的安全审核只读角色...通过笔记本电脑手动执行扫描任务 项目地址 https://github.com/ovotech/domain-protect 参考资料 https://github.com/ovotech/domain-protect-gcp

2.4K30

全解Google(谷歌)基础设施架构安全设计

例如,某个服务可以设置只提供一些特定白名单服务的API请求调用,该服务可以被配置为允许白名单帐户身份,之后,这种访问限制机制将会被谷歌基础设施自动执行。...它是第一个把数据分布全球范围内的系统,并且支持外部一致性的分布式事务。 应用层执行加密允许基础设施隔离掉一些如恶意磁盘固件的底层存储潜在威胁,这也是另一种加密保护层的额外实现。...身份及访问管理(IAM):IAM允许用户按照已定的IAM角色分类规则对Google云资源的权限进行分配,让其他用户能够按权限,以所有者/编辑者/查看者的身份,访问一个项目中的所有资源。...每个虚拟机(VM)与相关的虚拟机管理器(VMM)服务实例同时运行。...GCE的永久磁盘采用静态数据加密,使用谷歌中央密钥管理系统分发的密钥进行安全保护,并允许密钥自动轮换系统审计。

3K50

从五个方面入手,保障微服务应用安全

使用认证管理系统IAM进行访问者注册认证 不论是用户还是API客户端,访问应用之前,均需要先到认证管理系统IAM进行注册,以创建其的身份凭证(用户账号密码、客户端ID密码)。...角色分析: 对于前面提到的API 客户端,自身具备API访问权,不需要用户授权,因此OAuth角色对应时,它既是客户端又是资源所有者。...授权码 上图为OAuth2.0规范标准流程图,结合此场景对应OAuth2.0角色用户是资源所有者、浏览器为用户代理、网关作为被授权的客户端、IAM则为授权服务器。...用户密码凭据 上图为OAuth2.0规范标准流程图,结合此场景,对应OAuth2.0角色用户是资源拥有者、特权应用是客户端、IAM提供授权服务器 (A)用户提供给特权App用户密码。...推荐采用方案二实现令牌检查,需要注意的是方案二的JWT令牌包含必要的信息即可,不要放太多的角色权限信息。后续功能需要额外的信息时,可以根据令牌再去IAM获取。

2.6K20

TPU使用说明

$45.00 _ $45.95 使用抢占式 TPU 的价格示例 以下示例,使用的资源时长与上例相同,但这一次该研究机构决定使用抢占式 TPU 来节省成本。...2.2.2 上传共享对象 要开始使用您的存储分区,只需上传对象并开放其访问权限即可。 2.2.3 清理 最后一步,您将删除之前为本教程创建的存储分区对象。...通过向Cloud TPU服务帐户授予特定的IAM角色(见下图),确保您的Cloud TPU可以从GCP项目中获得所需的资源。 执行其他的检查。 将您登录到新的Compute Engine VM。...删除Computer Engine VMCloud TPU $ ctpu delete !!!特别注意:如果在创建VM的时候指定了name,name删除的时候同业也要指定name。...我删除的时候没有加name,虽然命令行结果显示删除成功,但是后面我控制台查看资源使用情况,发现VM实例依旧存在。所以最保险的办法是命令输完后,去控制台看看实例是否还存在。 ? ? 3.

1.9K20

RSAC 2024创新沙盒|P0 Security的云访问治理平台

此外,P0 还提供了一个 IAM 审计工具,专门用于识别 Google Cloud 用户IAM 配置的安全问题,整合了来自身份提供商、IAM 策略云访问日志的数据,帮助用户检查潜在的安全问题。...图3 P0 Security IAM权限风险场景 如图3所示,P0 Security 支持检测的IAM权限风险场景,以Account destruction风险为例,该风险允许攻击者删除系统的帐户,可能扰乱组织的运营...、破坏正常业务流程或造成重大生产责任,谷歌云IAM身份对应cloudsql.users.deleteiam.serviceAccounts.delete权限。...图5 P0 Security 即时申请策略 部署方式 P0 Security的部署方式非常简单,按其官网提供的操作文档部署即可,需要注意的是用户可选是否IAM中注入P0 Securiy的角色,用以创建用户的临时性使用角色等其它操作...若需对IAM角色进行权限风险分析,需一键即可获得按优先级排序的结果,如图7所示。

14710

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

刚好提示1告诉我们“节点的IAM角色名称的约定模式为:[集群名称]- 节点组-节点实例角色”。...这种方式允许外部服务对令牌进行身份验证,并返回与该令牌关联的用户信息。 EKS ,这个外部服务就是 AWS 的 STS(Security Token Service)。...策略解读:该策略允许用户读取名为"challenge-flag-bucket-3ff1ae2"的S3桶的对象,以及列出桶的对象,同时,也允许用户读取该桶名为"flag"的特定对象。...信任策略允许一个特定的OIDC提供者使用“AssumeRoleWithWebIdentity”权限来扮演这个IAM角色,当且当OIDC token的"aud"()字段等于"sts.amazonaws.com...弃用IMDSv1,使用IMDSv2 IMDSv1存在一定的风险,且出现过较为严重的安全事件,AWS官方已明确提示使用IMDSv2代替IMDSv1,并于2024年年起,新发布的Amazon EC2实例类型将使用

29610

深入了解IAM访问控制

AWS 里,一个 IAM user unix 下的一个用户几乎等价。...比如说一个 EC2 instance 需要访问 DynamoDB,我们可以创建一个具有访问 DynamoDB 权限的角色允许其被 EC2 service 代入(AssumeRule),然后创建 ec2...当然,这样的权限控制也可以通过 EC2 的文件系统里添加 AWS 配置文件设置某个用户的密钥(AccessKey)来获得,但使用角色更安全更灵活。角色的密钥是动态创建的,更新和失效都毋须特别处理。...所有的 IAM managed policy 是不需要指明 Principal 的。这种 policy 可以单独创建需要的时候可以被添加到用户,群组或者角色身上。...DynamoDB S3 的特定资源,除此之外,一律不允许访问。

3.9K80

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

/ulang.sh 角色与权限 容器执行的第一个脚本 amplify-role.sh 会创建 AWSCodeCommit-Role 角色,该角色是攻击者攻击过程中使用到的多个角色之一。...此外,来自同一矿池的用户的另一张图片 tegarhuta/ami ,研究人员发现了挖矿脚本的同一文件夹创建 Amplify 应用程序的说明。...该脚本创建可从 ECS 任务服务的 ecsTaskExecutionRole 角色,然后为其增加 AdministratorAccess、AmazonECS_FullAccess AmazonECSTaskExecutionRolePolicy...创建项目时,用户可以构建规范中指定构建命令。...用户可以指定在创建或启动实例时运行的 Shell 脚本,这也是攻击者利用其运行挖矿程序的地方。 攻击者运行的 note.sh会创建类型为 ml.t3.medium 的 SageMaker 实例

28230
领券