Iemand heeft port 22 op 0.0.0.0/0 in een security-group gezet
Dit is hoe instances binnen een uur worden gescand en binnen een week gecompromitteerd. Sluiten kan vandaag, een net SSH-pad is een dag werk.
Probeer dit eerst zelf
- 1Sluit per direct de regel: vervang 0.0.0.0/0 door je kantoor-IP, of beter, verwijder de regel helemaal.
- 2Voor SSH naar private instances gebruik je AWS Systems Manager Session Manager of Azure Bastion of GCP IAP. Geen publiek SSH meer nodig.
- 3Zet AWS Config of Defender for Cloud of Security Command Center aan met een regel die port 22 of 3389 op 0.0.0.0/0 als non-compliant markeert.
- 4Review alle bestaande security-groups en NSG's. CloudTrail of Activity Log laat zien wie de regel toevoegde, dat is meestal goed om uit te zoeken.
- 5Leg vast in een SCP of Azure Policy dat publieke SSH/RDP-regels worden geweigerd, niet alleen gemarkeerd.
Wanneer ons inschakelen
Stond de instance al weken open en heeft hij toegang tot productie-data, behandel het als incident en haal er iemand bij die forensics doet.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.