Container, APIs und Sicherheitsregel Zwei

#LockTheDoor schon

Man könnte meinen, dass mich in Sachen Sicherheit mittlerweile nichts mehr überraschen würde.

Vielleicht bin ich nicht überrascht, sondern eher enttäuscht.

Enttäuscht über die Nichteinhaltung selbst der grundlegendsten Sicherheitsprinzipien. Wissen Sie, wie zum Beispiel die Tür abschließen.

Ein aktueller Bericht von Lacework unterstrich die Notwendigkeit, eine der gemeinsamen Kernsicherheitsregeln zu wiederholen:

DU SOLLST KEINE ADMIN-KONSOLEN GEÖFFNET LASSEN

Der Bericht, der das Internet durchsuchte, entdeckte „mehr als 21.000 zugängliche Container-Orchestrierungs- und API-Managementsysteme“.

Dies allein ist nicht besorgniserregend, wenn man bedenkt, dass 95 % davon in AWS ausgeführt wurden. Wenn Sie Container und API-Gateways in der öffentlichen Cloud bereitstellen möchten, müssen Sie in der Lage sein, diese zu verwalten. Dies wird meistens über eine Art Bedienkonsole erreicht.

Beunruhigend ist, dass für den Zugriff auf über 300 dieser Dashboards keinerlei Anmeldeinformationen erforderlich waren.

Ich möchte darauf hinweisen, dass dieses existenzielle Risiko nicht nur im Lacework-Bericht festgestellt wird. Bereits im Mai 2017 veröffentlichte der RedLock Cloud Security Report die Feststellung, dass auf Hunderte von Kubernetes-Verwaltungskonsolen über das Internet ohne Anmeldeinformationen zugegriffen werden konnte.

Dies ist also nichts Neues, aber wir müssen versuchen, der Sache zuvorzukommen, bevor die Verbreitung weiter zunimmt. Denn Angreifer nutzen diese offenen Konsolen unter anderem dazu, ihre eigenen Container zu starten und damit eine Reihe schändlicher Aktivitäten durchzuführen, etwa Bitcoin-Mining oder die Ausführung von Bots. Es geht ihnen nicht unbedingt um Ihre Daten, sondern um kostenlose Rechenleistung und einen neuen Satz IP-Adressen, die derzeit nicht auf Blockierungslisten im Internet gesperrt sind.

Und Sie wünschen sich den uneingeschränkten ausgehenden Zugriff, der in solchen Umgebungen viel zu oft besteht. Der aktuelle RedLock-Bericht zeigt: „85 % der Ressourcen, die mit Sicherheitsgruppen verbunden sind, schränken den ausgehenden Datenverkehr gar nicht ein. Das ist ein Anstieg gegenüber dem Vorjahr, als dieser Wert noch bei 80 % lag.“ Ohne Einschränkungen beim ausgehenden Verkehr überrascht es nicht, dass das RedLock-Team bei etwa 39 % der von Amazon eingesetzten überwachten Hosts Aktivitäten feststellte, die auf eine Kompromittierung oder Auskundschaftung durch Angreifer hindeuten.

Es versteht sich von selbst, dass Sie jede Art web- oder API-basierter Konsole sperren müssen. Als absolutes Minimum müssen Sie Anmeldeinformationen verlangen.

Ich weiß, dass Organisationen über zahllose Sicherheitsregeln und Checklisten verfügen, die überwältigend wirken können. Aber fast alle lassen sich verallgemeinern, sodass sie diesen drei grundlegenden Sicherheitsregeln entsprechen:

1. Du sollst den Benutzereingaben nicht vertrauen. Immer.

2. Du sollst die Anmeldeinformationen nicht fest codieren . Immer.

3. Du sollst die Admin-Konsole nicht geöffnet lassen.