Являются ли правила брандмауэра GCP по умолчанию проблемой безопасности?
Всякий раз, когда вы создаете проект в GCP, существует правило брандмауэра по умолчанию, называемое «default-allow-ssh», которое разрешает 0.0.0.0/0 на порту 22, что упрощает подключение по ssh к машинам с внешним IP-адресом из браузера. . Но это позволяет любой машине из Интернета получить доступ к моей машине через порт 22, а боты постоянно пытаются получить доступ ко всему, что могут найти. Я предполагаю, что им все равно нужно будет взломать пароль или ssh-ключ или что-то в этом роде, но разве это не очень опасное правило установки по умолчанию? На самом деле нет никаких предупреждений, когда вы запускаете новую машину с внешним ip, и я ожидал, что GCP будет иметь более ограниченный подход. Если кто-нибудь может помочь мне прояснить это, это было бы очень признательно. И если я уберу это правило по умолчанию и все еще хочу получить доступ к своим машинам через ssh, какой подход будет простым и безопасным?
Ответы 1
Без этого правила, когда вы пытаетесь использовать SSH с помощью инструмента командной строки gcloud, запрос будет немедленно отклонен, поэтому, насколько я знаю, выбор Compute Engine здесь был оптимизирован для облегчения начала работы с GCE.
Я также думаю, что аутентификация по паролю отключена по умолчанию, поэтому у любого злоумышленника есть два пути входа:
- Взломать закрытый ключ SSH
- Использовать уязвимость в бинарном файле агента SSH
Я думаю, что первое довольно надумано, учитывая сегодняшние технологии. Если бы это было достаточно просто, у нас было бы гораздо больше проблем в мире.
Второе кажется поводом для беспокойства, если Google Cloud Platform не устанавливает автоматические исправления безопасности на регулярной основе. Да, это по-прежнему уязвимо для 0-day эксплойтов, но, учитывая, что группа безопасности Google была теми, кто обнаружил несколько недавних уязвимостей безопасности в популярных проектах (например, я почти уверен, что Heartbleed был обнаружен, исправлен и раскрыт Google), весьма вероятно, что если бы в агенте SSH, используемом всеми виртуальными машинами GCE, была ошибка безопасности, Google исправила бы ее быстрее, чем кто-либо другой.
Тем не менее, если вам действительно не нравится это правило, я уверен, что вы можете войти и изменить определение правила, чтобы оно по умолчанию разрешало только определенный список IP-адресов или подсетей для всех ваших виртуальных машин.