ブログ

クラウドにおけるコンテナの危険性

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 7 月 24 日公開

報告書では、パブリック クラウド環境内の他の重要なインフラストラクチャへのプレーンテキストの資格情報とともに、Kubernetes ダッシュボードへの制限のないアクセスが発見されました。

ほとんどの人は、少なくとも家にいないときはドアに鍵をかけます。 結局のところ、家に帰ってきたら、誰かがソファーに寄りかかって Netflix を見ていて、自分が決して見ないジャンルの番組を見て、「おすすめリスト」に表示されるものを決定するアルゴリズムを完全に破壊しているのを見つけたい人はいないでしょう。 その恐ろしさを想像してみてください。

 

青い開いたドア

したがって、犯罪統計に基づくと、すべての強盗犯の約 30% が開いたり鍵がかかっていない窓やドアを使用していることを知ると、驚かれるかもしれません。

テクノロジーに目を向けると、 RedLock CSIチームの最近のレポートにも同様の「開かれた窓とドア」が見つかります。 RedLock は、クラウド環境の可視性を提供する、クラウドベースの API 対応インフラストラクチャ セキュリティ監視プラットフォームです。 つまり、クラウド版の ADT のようなものです。 同社の最新レポートは、顧客環境の分析に基づいています。 12 ペタバイトのネットワーク トラフィックを処理する 100 万を超えるリソースが評価されました。 かなりの数のセキュリティ上の禁止事項が発見されましたが、次の点が私の目に留まりました。  

Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform にデプロイされ、パスワードで保護されていない 285 個の Kubernetes ダッシュボード (Web ベースの管理インターフェース)。 さらに調査を進めると、チームは Kubernetes システム内の他の重要なインフラストラクチャへのプレーンテキストの認証情報を発見しました。[強調は筆者による]

残念ながら、プレーンテキストの資格情報の発見は驚くべきことではありません。 この問題は、2016年初頭に「新たな内部脅威」について議論した際に取り上げられたことを覚えているかもしれません。 「自動化フレームワーク」 残念ながら、正面玄関を開いたままにしておくと、プレーンテキストの認証情報を使用してコンテナ環境全体のアクティビティを承認すると、内部の脅威と同じくらい外部の脅威になる可能性があります。

さて、おそらくこれらの広く開かれたダッシュボードは重要ではなく、おそらくは非本番環境であったと主張することもできます。 それらは単なるテストまたは開発ですよね? これらは、後に単に忘れ去られたり、脅威とは見なされなかったりしたアプリをコンテナ化するための POC でした。 ただし、クラウド内のこのような管理されていない環境はクラウドの無秩序な拡大につながり、予算を少しずつ圧迫し、ボタンをクリックするだけで無数のシステムを起動できるシステムへの自由なアクセス以外のリスクももたらすことがわかっています。

同じレポートでは、「ユーザー アカウントの 14% は休止状態であり、資格情報は有効であるものの、過去 90 日間にログインが行われていない」ことがわかっています。これは、クラウド内のかなりの数のリソースが管理されず、アクティビティが監視されていない可能性が高いことを示すさらなる証拠であると思われます。

ドアや窓を 1 つでも施錠しないままにしておくと、リスクが増大します。 物理的なセキュリティに関して言えば、一般的に言えば、悪意のある人物はドアの状態を判断するために物理的にドアをテストする必要があるということです。 それは物理的な時間と労力を意味します。 デジタルの世界では、その要件はなくなりました。 スクリプトを使用してシステムをスキャンし、実行中かつアクセス可能な状態にあるすべてのシステムの詳細を記載したメッセージを数秒以内に送信させることができます。 デジタル窃盗の分野では参入障壁が低いため、ドアを 1 つでも開けておくとさらに危険になります。

クラウドベースの環境へのゆっくりだが着実な移行は、IT の多くの側面に影響を及ぼしています。 あまり言及されないのは管理です。 しかし、特に今日ではほとんどのサービスが Web ベースのインターフェースを介して提供され、それを求める人なら誰でも簡単にポート 80 にアクセスできるため、そうすべきです。 つまり、管理コンソールとダッシュボードのセキュリティを優先事項として考慮する必要があります。 これらのシステムは標準の Web コンポーネント上に構築されており、その多くはユーザー向けのシステムと同じセキュリティ上の欠陥に対して脆弱です。 クロスサイト スクリプティングや SQLi、デフォルト パスワード、バックドア エントリなど、アプリケーションの展開に使用しているシステムと環境の管理側のテストとセキュリティ保護に時間と予算を費やす必要があります (これは RFC スタイルで必須です)。

ここで話しているのは「新しい」セキュリティ パラダイムではなく、基本的な Web アプリ セキュリティについてです。 Web アプリへのアクセスをロックダウンすることは、私たちが 20 年近くにわたって行ってきたことです。 これは十分に理解されており、開発やテストだけだからといって軽々しく無視すべきものではありません。

泥棒が家全体に侵入するには、ドアが 1 つ開いているだけで十分です。デジタルかどうかは関係ありません。 そして、デジタル化されると、テクノロジーと、接続されたシステムのスキャン、侵入、アクセスの容易さのおかげで、その影響はより広範囲かつより速く広がります。

気をつけてお過ごしください。 管理コンソールとシステムのセキュリティを無視しないでください。