如何高效管理大规模计算资源?
身份如何安全验证与授权?
“集权设施”系统,全搞定
“集权设施” 是信息技术领域的一个关键概念,通常指的是一种计算系统,它具备集中的权威、决策和控制权,用于管理和协调大规模计算资源、网络资源以及身份验证和授权凭据。这些集权设施在现代 IT 基础设施中发挥着至关重要的作用,确保了复杂的系统能够高效运⾏、安全性能得到维护。具体实践中,集权设施包括但不限于以下几种:
运维+攻击者,双重解析
打开集权设施“全知视角”
中央数据存储,数据在一个地方集中存储,而不是分散存储在多个地方。这有助于数据的一致性和集中备份。
标准化,集权系统通常采用标准化的方法和协议,以确保不同组件之间的互操作性。这有助于降低复杂性,并使系统更易于管理和维护。
集中管理,这些系统允许管理员从一个中心点管理和配置各个组件。管理员可以在一个地方进行修改,而不必分别管理每个组件。
安全性,由于集权系统涉及大量的敏感数据和关键功能,它们通常具有强大的安全性措施。这包括身份认证、授权、加密和访问控制。
自动化,自动化功能减少手动干预,提高工作效率。例如,企业资源规划(ERP)系统可以自动化业务流程。
可伸缩性,集权系统可以根据需要扩展。这使得它们适用于不同规模的组织。
监控和报告,便于管理员随时查看系统性能和问题。
数据备份和恢复,由于集权系统存储了重要的数据,它们通常具有数据备份和恢复机制,以应对数据丢失或损坏的情况。
互操作性,集权系统通常能够与其他系统和服务进行交互操作。这使得它们可以集成到整个企业的生态系统中。
集权设施具有广泛的网络权限,这使得集权设施成为网络的核心,攻击者可以通过控制集权设施获取对整个企业网络的访问权限,就像拿到了整个城堡的钥匙。
集权设施可以控制大量的计算节点,这意味着攻击者通过控制集权设施来把控网络中的大部分资源,他们可以利用这些计算资源进行更大规模的攻击,或者利用这些资源来隐藏自己,使得追踪和防御变得更为困难。
11类企业级重要集权设施
一探究竟
除了上面7大企业级常见的集权设施,随着集权设施的发展,新一代的集权设施也逐渐应用到现在的大型企业中,其中包括了以下4类新的集权设施。
DevOps 开发运维一体化,覆盖应用开发、代码部署和质量测试等生命周期的集成化平台。
Monitor 性能监控,覆盖主机、网络、数据库、业务监控等维度的性能数据采集监控及告警。
AutoOps 自动化运维,覆盖服务器、云平台、数据库、中间件、网络设备等维度的自动化编排运维。
CMDB 配置管理,运维信息管理和自动化的基石,覆盖资源管理、业务管理、权限配置管理。
这些集权系统在企业中发挥着关键作用,具有便捷性、安全性和管理性,但也需要适当的安全措施来保护免受潜在威胁的侵害。不同的企业根据其需求和规模可能会使用不同的集权系统。
集权设施作为企业的核心基础设施,其构建拓扑也呈现出多种形态。
在以AD为核心的集权拓扑中,接入了大量的windows终端,服务器,用户管理,邮件系统,网络设备,单点登录等系统,呈现出以AD为集权中心,构建了一个有机的、高度协调的基础设施生态系统。这种集中化管理不仅提高了整个企业IT生态的效率,还确保了安全性和一致性,确保了业务的安全、高效运行。
4大风险面、16种攻击场景
网星安全带你探索集权设施安全风险
通过上面对集权设施的介绍,可以看到集权设施在企业中的地位非常重要,因此在攻防过程中其地位也是非常重要,是攻击者的焦点。在过去几年,各种安全会议上,比如Blackhat,越来越多的攻击者把目标集中在集权设施上,例如AD、vCenter、k8s,这一类常见的集权设施均存在大量的攻击面。
帐户权限滥用。员工帐户可能会被滥用来访问敏感数据或系统资源。攻击者可能会通过利用弱口令或攻击漏洞等手段获取员工帐户的控制权,并从内部访问敏感数据或控制企业系统。
漏洞攻击。MS14-068(Kerberos漏洞)、MS17-010(SMB漏洞)、CVE-2020-1472(Netlogon远程协议漏洞)、Zerologon漏洞、DNS域传送漏洞、CVE-2021-42287(域内提权漏洞)。
身份伪造。攻击者可能会伪造员工帐户或冒充其他用户来获得访问权限。这可能会导致敏感数据泄露,系统资源受到破坏,以及其他安全问题。
账号与权限滥用。攻击者可能会通过社会工程学或钓鱼攻击等手段获取管理员的账号和密码,然后使用这些凭证来操纵vCenter系统和虚拟机。同时,管理员可能会为用户授予过多的权限,或者授予了不应该具备的权限,例如允许用户访问虚拟机的敏感数据或操作虚拟机。
漏洞攻击。CVE-2021-21985(vCenter Sever远程代码执行)、CVE-2020-3952(vCenter信息泄露漏洞)、CVE-2020-4006 |(VMware命令注入漏洞)、CVE-2019-5534(VMware ESXi身份绕过漏洞)。
虚拟机逃逸。攻击者可能会利用漏洞或其他技术手段从虚拟机中逃逸,并访问宿主机或其他虚拟机,以此获取到虚拟机主机或者vCenter Server的控制权限。
权限滥用。用户在没有授权或未经许可的情况下,利用其所拥有的特权或权限执行不当操作或者对集群资源进行滥用的行为。这些行为可能导致严重的安全问题,例如,一个用户可能在没有授权的情况下,创建了一个具有特权的容器或者Pod,然后利用该容器或Pod执行恶意操作,如窃取凭据、删除数据等。
漏洞攻击。CVE-2018-1002105(k8s特权提升漏洞)、CVE-2020-8554(k8s中间人劫持漏洞)、CVE-2019-11246(kubectl cp命令目录穿越漏洞)、CVE-2017-1002101(k8s文件系统逃逸漏洞)。
恶意镜像。k8s使用镜像来运行容器,但镜像可能包含恶意代码或者被篡改。攻击者可以利用恶意镜像在集群中执行任意恶意代码、窃取敏感信息、加密文件等。
功能滥用。攻击者可能利用Exchange服务器功能进行恶意操作,如邮箱委托、创建转发规则、导出邮箱用户、邮件导出和邮件搜索、TransportAgent后门安装以及攻击域管。
漏洞攻击。CVE-2021-26855(ProxyLogon)、CVE-2022-41040(Exchange服务器端请求伪造漏洞)、CVE-2020-0688(Exchange反序列化远程代码执行漏洞)、CVE-2023-21529(Exchange远程代码执行漏洞)。
恶意邮件传播。攻击者可能会通过邮件附件或链接分发恶意软件或恶意脚本,感染用户计算机或服务器,导致数据泄露、加密勒索、系统资源滥用等问题。
此文我们介绍了什么是集权设施,集权设施的一些典型特征,企业中常见的集权设施,以及一些常见集权设施的安全风险,后续的篇章我们将逐一介绍企业中常见基础设施的攻击路径,在每个攻击路径中将着重讲解集权设施面临的攻击面,攻击场景,以及一些集权设施的漏洞原理。通过多角度的漏洞利用,让集权设施的攻击面暴露到最大。