Conteneurs, API et règle de sécurité n°2

#LockTheDoor déjà

On pourrait penser qu’à présent, rien ne me surprendrait en matière de sécurité.

Ce n’est peut-être pas que je suis surpris, mais plutôt déçu.

Déçu par le non-respect des principes de sécurité les plus élémentaires. Tu sais, comme verrouiller la porte.

Un rapport récent de Lacework a souligné la nécessité de réitérer l’une des règles de sécurité fondamentales communes :

TU NE LAISSERAS PAS LES CONSOLES D'ADMINISTRATION OUVERTES

Le rapport, qui a analysé Internet, a découvert « plus de 21 000 systèmes d’orchestration de conteneurs et de gestion d’API » accessibles.

En soi, cela n’est pas inquiétant étant donné que 95 % d’entre eux fonctionnaient dans AWS. Si vous envisagez de déployer des conteneurs et des passerelles API dans le cloud public, vous devez être en mesure de les gérer. Cela se fera le plus souvent via une sorte de console opérationnelle.

Ce qui est inquiétant, c’est que plus de 300 de ces tableaux de bord ne nécessitaient absolument aucune information d’identification pour y accéder.

Je tiens à souligner que ce n’est pas seulement le rapport Lacework qui relève ce risque existentiel. En mai 2017, le rapport RedLock Cloud Security a publié ses conclusions selon lesquelles des centaines de consoles d'administration Kubernetes sont accessibles via Internet sans nécessiter d'informations d'identification.

Ce n’est donc pas une nouveauté, mais c’est une chose que nous devons essayer d’anticiper avant que l’adoption généralisée ne s’accélère davantage. Car l’une des choses que les attaquants font avec ces consoles ouvertes est de lancer leurs propres conteneurs pour mener diverses activités néfastes telles que l’extraction de bitcoins et l’exécution de robots. Ils ne recherchent pas nécessairement vos données, ils veulent du calcul gratuit et un nouvel ensemble d'adresses IP qui ne sont pas actuellement bloquées sur les listes de refus sur Internet.

Ils réclament un accès sortant sans restriction, trop souvent accordé dans ces environnements. Le dernier rapport RedLock révèle que « 85 % des ressources liées aux groupes de sécurité ne limitent aucunement le trafic sortant. Ce chiffre a augmenté par rapport à l’année précédente, où il s’établissait à 80 %. » Sans aucune limitation du trafic sortant, il n’est pas surprenant que RedLock ait constaté qu’environ 39 % des hôtes Amazon qu’elle surveille « présentent des comportements indiquant une compromission de l’instance ou une reconnaissance par des attaquants ».

Il va sans dire que si vous utilisez une console Web ou API de quelque type que ce soit, vous devez la verrouiller. Au strict minimum, vous devez exiger des informations d’identification.

Je sais que les organisations ont des milliards de règles de sécurité et de listes de contrôle qui peuvent sembler écrasantes. Mais presque toutes peuvent être généralisées pour s’adapter à ces trois règles de sécurité fondamentales :

1. Tu ne feras pas confiance aux commentaires des utilisateurs. Jamais.

2. Tu ne coderas pas en dur les informations d'identification . Jamais.

3. Tu ne laisseras pas les consoles d’administration ouvertes.