BLOG

Contêineres, APIs e regra dois de segurança

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 10 de setembro de 2018

#TranqueAPorta já

Você deve estar pensando que nada sobre segurança me surpreenderia.

Talvez não esteja surpreso, mas sim decepcionado.

Decepcionado com a falha em aderir até mesmo aos princípios de segurança mais básicos. Você sabe, como trancar a porta.

Regras de segurança

Um relatório recente da Lacework destacou a necessidade de reiterar uma das regras básicas de segurança:

NÃO DEIXARÁS OS CONSOLES ADMINISTRATIVOS ABERTOS

O relatório, que examinou a Internet, descobriu “mais de 21.000 sistemas de orquestração de contêineres e gerenciamento de API” acessíveis.

Isso, por si só, não é preocupante, já que 95% deles estavam sendo executados na AWS. Se você for implantar contêineres e gateways de API na nuvem pública, precisará ser capaz de gerenciá-los. Isso geralmente será feito por meio de algum tipo de console operacional.

O preocupante é que mais de 300 desses painéis não exigiam absolutamente nenhuma credencial para acesso.

Quero ressaltar que não é apenas o relatório Lacework que aponta esse risco existencial. Em maio de 2017, o RedLock Cloud Security Report publicou sua descoberta de centenas de consoles administrativos do Kubernetes acessíveis pela Internet sem exigir credenciais.

Então, isso não é algo novo, mas é algo que precisamos tentar antecipar antes que a adoção generalizada se acelere ainda mais. Porque uma das coisas que os invasores fazem com esses consoles abertos é ativar seus próprios contêineres para conduzir uma variedade de atividades nefastas, como mineração de bitcoin e execução de bots. Eles não estão necessariamente atrás dos seus dados, eles querem computação gratuita e um novo conjunto de endereços IP que não estejam bloqueados atualmente em listas de bloqueio na Internet.

E eles querem o acesso de saída irrestrito que muitas vezes encontram nesses ambientes. O relatório mais recente da RedLock descobriu que “85% dos recursos associados a grupos de segurança não restringem o tráfego de saída. Isso reflete um aumento em relação ao ano passado, quando essa estatística era de 80%.” Sem nenhuma restrição no tráfego de saída, não é surpresa que a equipe do RedLock também tenha descoberto que cerca de 39% dos hosts implantados pela Amazon monitorados “exibiam padrões de atividade associados ao comprometimento de instâncias ou reconhecimento por invasores”.

Nem é preciso dizer que, se você estiver executando um console baseado na Web ou em API de qualquer tipo, será necessário bloqueá-lo. No mínimo, você precisa exigir credenciais.

Sei que as organizações têm um zilhão de regras de segurança e listas de verificação que podem parecer assustadoras. Mas quase todas elas podem ser generalizadas para se adequarem a estas três regras básicas de segurança:

1. Não confiarás na entrada do usuário. Sempre.

2. Não codificarás credenciais . Sempre.

3. Não deixarás os consoles de administração abertos.