블로그

클라우드의 컨테이너 위험

로리 맥비티 썸네일
로리 맥비티
2017년 7월 24일 게시

보고서는 퍼블릭 클라우드 환경의 다른 중요 인프라에 대한 일반 텍스트 자격 증명과 함께 Kubernetes 대시보드에 대한 무제한 액세스를 발견했습니다.

대부분의 사람들은 집에 없을 때는 적어도 문을 잠급니다. 결국, 아무도 집에 돌아와서 소파에 누워 넷플릭스를 보고, 자신이 절대 보지 않을 장르를 시청함으로써 "추천 목록"에 무엇이 나올지 결정하는 알고리즘을 완전히 파괴하는 누군가를 보고 싶어하지 않을 것입니다. 그 공포를 상상해 보세요.

 

푸른-열린-문

그래서 범죄 통계에 따르면 모든 강도의 약 30%가 열려 있거나 자물쇠가 걸리지 않은 창문이나 문을 이용한다는 사실을 알면 놀랄지도 모릅니다.

기술로 눈을 돌리면, 우리는 RedLock CSI 팀의 최근 보고서에서 비슷한 "열린 창문과 문"을 발견합니다. RedLock은 클라우드 환경에 대한 가시성을 제공하는 클라우드 기반 API 지원 인프라 보안 모니터링 플랫폼입니다. 그러니까 클라우드의 ADT와 같은 거죠. 최근 보고서는 고객 환경에 대한 분석을 바탕으로 작성되었습니다. 12페타바이트의 네트워크 트래픽을 처리하는 100만 개 이상의 리소스가 평가되었습니다. 꽤 많은 보안상의 금기 사항을 발견했지만, 그 중 하나가 제 눈길을 끌었습니다.  

Amazon Web Services(AWS), Microsoft Azure, Google Cloud Platform에 배포된 암호로 보호되지 않은 Kubernetes 대시보드(웹 기반 관리 인터페이스) 285개. 추가 조사를 통해 팀은 Kubernetes 시스템 내의 다른 중요 인프라에 대한 일반 텍스트 자격 증명을 발견했습니다. [강조는 필자]

평문 자격 증명이 발견된 것은 안타깝게도 놀라운 일이 아닙니다. 2016년 초에 " 새로운 내부 위협"에 대해 논의했을 때 이 문제가 제기되었던 것을 기억하실 수 있을 것입니다. 자동화 프레임워크 .” 안타깝게도, 정문을 열어둔 경우 일반 텍스트 자격 증명을 사용하여 컨테이너 환경 전반의 활동을 승인하는 것은 내부 위협만큼이나 외부 위협이 될 수 있습니다.

이제 우리는 이렇게 넓게 펼쳐진 대시보드가 중요하지 않거나 심지어 생산과 관련이 없다고 주장할 수도 있습니다. 그냥 테스트나 개발용일 뿐이잖아요? 그들은 나중에 잊혀지거나 위협으로 간주되지 않은 앱을 컨테이너화하기 위한 POC였습니다. 단 , 클라우드에서 이러한 유형의 거버넌스되지 않은 환경은 클라우드 확산에 기여하여 예산을 잠식하고 버튼 하나만 클릭하면 수많은 시스템을 구동하도록 설정할 수 있는 시스템에 대한 무제한 액세스 외에도 여러 가지 위험을 초래한다는 사실을 알고 있어야 합니다.

같은 보고서에서는 "사용자 계정의 14%가 자격 증명이 활성화되어 있지만 지난 90일 동안 로그인이 발생하지 않은 휴면 상태"라고 밝혔는데, 이는 클라우드의 상당수 리소스가 관리되지 않고 있으며 활동에 대한 모니터링도 이루어지지 않고 있다는 증거를 더 많이 제공하는 것으로 보입니다.

문이나 창문을 하나만 잠그지 않으면 위험이 커집니다. 물리적 보안의 문제점은 일반적으로 침입자가 문의 상태를 파악하기 위해 실제로 문을 테스트해야 한다는 것입니다. 즉, 물리적인 시간과 노력이 필요하다는 뜻입니다. 디지털 세계에서는 그런 요구 사항이 사라졌습니다. 스크립트를 사용하여 귀사의 시스템을 스캔한 후, 몇 초 안에 실행 중이거나 접근이 가능한 모든 시스템을 자세히 설명한 메시지를 보내도록 할 수 있습니다. 디지털 침입 게임에서는 진입 장벽이 낮아서 단 하나의 문만 열어두는 것은 더욱 위험합니다.

클라우드 기반 환경으로의 느리지만 꾸준한 이전은 IT의 여러 측면에 영향을 미쳤습니다. 우리가 거의 언급하지 않는 것 중 하나가 행정입니다. 하지만 그렇게 해야 합니다. 특히 오늘날 대부분의 서비스가 웹 기반 인터페이스를 통해 제공되고, 이를 원하는 사람이라면 누구나 쉽게 포트 80에 접속할 수 있기 때문입니다. 즉, 관리 콘솔과 대시보드의 보안을 최우선으로 고려해야 한다는 의미입니다. 이러한 시스템은 표준 웹 구성 요소를 기반으로 구축되었으며, 그 중 대부분은 사용자에게 제공되는 시스템과 동일한 보안 결함에 취약합니다. 크로스 사이트 스크립팅이든 SQLi이든, 기본 비밀번호든, 백도어 진입이든, 우리는 (RFC 스타일로) 앱을 배포하는 데 사용하는 시스템과 환경의 관리 측면을 테스트하고 보호하는 데 시간과 예산을 투자해야 합니다.

우리가 말하는 것은 "새로운" 보안 패러다임이 아닙니다. 우리가 말하는 것은 기본적인 웹 앱 보안에 대한 것입니다. 웹 앱에 대한 접근을 차단하는 작업은 우리가 거의 20년 동안 해 온 작업입니다. 이는 충분히 이해되는 사항이며, 개발 또는 테스트용이라는 이유만으로 가볍게 무시해서는 안 될 사항입니다.

도둑은 디지털 방식이든 아니든 열린 문 하나만 있어도 집 전체에 침입할 수 있습니다. 그리고 디지털화될 경우 그 결과는 기술과 우리가 연결된 시스템을 스캔하고 침투하고 접근할 수 있는 용이성 덕분에 더 멀리, 더 빠르게 퍼집니다.

안전하게 지내세요. 관리 콘솔과 시스템의 보안을 무시하지 마세요.