Lacework将于6月19日发布的最新报告显示,包括Kubernetes在内的容器编排系统正越来越多地在云中进行部署,但并非所有这些部署都以安全的方式进行。
Lacework对云托管的容器编排部署进行了分析,并发现了21,169个面向公众的容器编排平台。其中,发现300个部署具有开放的管理仪表板,而没有任何必需的访问凭据。
首席安全架构师Dan Hubbard告诉eWEEK: “我们使用Shodan以及我们自己的爬虫和端口扫描功能来发现服务器并对其进行指纹识别,然后发现真正经过验证的服务器。
Shodan.io是一种流行的搜索服务,用于发现Internet连接的资源。Lacework成立于2015年,从事网络安全可视性业务。该公司的Polygraph平台可为位于数据中心或云中的应用程序基础架构内部的潜在错误配置,威胁和漏洞提供安全性可见性。
开放式容器编排仪表板不是一个新问题,安全公司RedLock在2018年2月的报告中也强调了这一问题。RedLock发现电动汽车供应商Telsa使其Kubernetes集群处于开放状态而没有任何凭据,并且被欺诈者用来开采加密货币。最近,安全公司Kromtech 在6月8日报告称,Weight Watchers运营的Kubernetes集群未经认证就处于开放状态。
Kubernetes并不是Lacework发现的唯一的容器编排系统,但它是部署最广泛的系统。Lacework在云中发现的容器编排器中,Kubernetes占76%,而集群的19%在运行Docker Swarm。
AWS托管可发现的仪表盘
Lacework的分析发现,可发现的容器编排系统仪表板中有95%托管在Amazon Web Services(AWS)上。Lacework在6月的第一周进行了扫描,巧合的是,Amazon全面开放了托管的Kubernetes弹性容器服务(EKS)服务。组织可以在AWS上自行部署Kubernetes,或者现在可以选择运行EKS。对于在AWS上打开的仪表板找到的Kubernetes集群,哈伯德说,它们是在Amazon的EKS托管服务之外的安装。
Hubbard说:“默认情况下,EKS使用安全的仪表板和管理平面进行部署,我敢肯定,除非您运行自己的管理,否则您将无法对其进行编辑。”
发现300个完全开放的容器编排系统仪表板不是一件好事,但哈伯德同意可以肯定地说,已部署的大部分容器编排平台都未打开。
哈伯德说:“这当然只是安全性的一个方面,因此很难说它们是否安全。” “还有一个重要的注意事项,我们没有执行任何暴力密码或字典攻击,因此我们无法评论认证过程的安全性。”
Lacework报告观察到,可以在Internet上发现的群集编排系统仪表板可能会泄露可能对攻击者有用的信息。
报告指出:“在大多数发现的系统中,即使没有访问权限,公司名称也可以源自证书和主机名。” “这些组织以及将重蹈覆辙的其他组织正在向暴力密码和字典攻击敞开大门。”
最佳实践
着眼于Kubernetes,Hubbard建议组织采取以下措施来提高安全性:
配置Kubernetes Pod以运行只读文件系统
限制Kubernetes中的特权升级
建立Pod安全政策
运行基于角色的访问控制(RBAC)
总体而言,Hubbard建议组织使用公共云了解其应用程序清单,并通过合规性检查对工作负载和安全区域策略执行连续审核和配置扫描