Conteneurs, API et règle de sécurité n°2

#LockTheDoor déjà

On pourrait penser qu’à présent, rien ne me surprendrait en matière de sécurité.

Ce n’est peut-être pas que je suis surpris, mais plutôt déçu.

Déçu par le non-respect des principes de sécurité les plus élémentaires. Tu sais, comme verrouiller la porte.

Un rapport récent de Lacework a souligné la nécessité de réitérer l’une des règles de sécurité fondamentales communes :

TU NE LAISSERAS PAS LES CONSOLES D'ADMINISTRATION OUVERTES

Le rapport, qui a analysé Internet, a découvert « plus de 21 000 systèmes d’orchestration de conteneurs et de gestion d’API » accessibles.

En soi, cela n’est pas inquiétant étant donné que 95 % d’entre eux fonctionnaient dans AWS. Si vous envisagez de déployer des conteneurs et des passerelles API dans le cloud public, vous devez être en mesure de les gérer. Cela se fera le plus souvent via une sorte de console opérationnelle.

Ce qui est inquiétant, c’est que plus de 300 de ces tableaux de bord ne nécessitaient absolument aucune information d’identification pour y accéder.

Je tiens à souligner que ce n’est pas seulement le rapport Lacework qui relève ce risque existentiel. En mai 2017, le rapport RedLock Cloud Security a publié ses conclusions selon lesquelles des centaines de consoles d'administration Kubernetes sont accessibles via Internet sans nécessiter d'informations d'identification.

Ce n’est donc pas une nouveauté, mais c’est une chose que nous devons essayer d’anticiper avant que l’adoption généralisée ne s’accélère davantage. Car l’une des choses que les attaquants font avec ces consoles ouvertes est de lancer leurs propres conteneurs pour mener diverses activités néfastes telles que l’extraction de bitcoins et l’exécution de robots. Ils ne recherchent pas nécessairement vos données, ils veulent du calcul gratuit et un nouvel ensemble d'adresses IP qui ne sont pas actuellement bloquées sur les listes de refus sur Internet.

Et ils exigent cet accès sortant libre qu'ils retrouvent trop souvent dans ces environnements. Le dernier rapport RedLock révèle que « 85 % des ressources liées aux groupes de sécurité ne restreignent aucunement le trafic sortant. Ce chiffre a augmenté par rapport à l’an dernier, où il était de 80 %. » Sans limitation du trafic sortant, il est logique que l'équipe RedLock ait aussi constaté qu’environ 39 % des hôtes déployés par Amazon et surveillés affichent « des comportements liés à une compromission ou à une reconnaissance des instances par des attaquants ».

Il va sans dire que si vous utilisez une console Web ou API de quelque type que ce soit, vous devez la verrouiller. Au strict minimum, vous devez exiger des informations d’identification.

Je sais que les organisations ont des milliards de règles de sécurité et de listes de contrôle qui peuvent sembler écrasantes. Mais presque toutes peuvent être généralisées pour s’adapter à ces trois règles de sécurité fondamentales :

1. Tu ne feras pas confiance aux commentaires des utilisateurs. Jamais.

2. Tu ne coderas pas en dur les informations d'identification . Jamais.

3. Tu ne laisseras pas les consoles d’administration ouvertes.