#TranqueAPorta já
Você deve estar pensando que nada sobre segurança me surpreenderia.
Talvez não esteja surpreso, mas sim decepcionado.
Decepcionado com a falha em aderir até mesmo aos princípios de segurança mais básicos. Você sabe, como trancar a porta.
Um relatório recente da Lacework destacou a necessidade de reiterar uma das regras básicas de segurança:
NÃO DEIXARÁS OS CONSOLES ADMINISTRATIVOS ABERTOS
O relatório, que examinou a Internet, descobriu “mais de 21.000 sistemas de orquestração de contêineres e gerenciamento de API” acessíveis.
Isso, por si só, não é preocupante, já que 95% deles estavam sendo executados na AWS. Se você for implantar contêineres e gateways de API na nuvem pública, precisará ser capaz de gerenciá-los. Isso geralmente será feito por meio de algum tipo de console operacional.
O preocupante é que mais de 300 desses painéis não exigiam absolutamente nenhuma credencial para acesso.
Quero ressaltar que não é apenas o relatório Lacework que aponta esse risco existencial. Em maio de 2017, o RedLock Cloud Security Report publicou sua descoberta de centenas de consoles administrativos do Kubernetes acessíveis pela Internet sem exigir credenciais.
Então, isso não é algo novo, mas é algo que precisamos tentar antecipar antes que a adoção generalizada se acelere ainda mais. Porque uma das coisas que os invasores fazem com esses consoles abertos é ativar seus próprios contêineres para conduzir uma variedade de atividades nefastas, como mineração de bitcoin e execução de bots. Eles não estão necessariamente atrás dos seus dados, eles querem computação gratuita e um novo conjunto de endereços IP que não estejam bloqueados atualmente em listas de bloqueio na Internet.
E eles querem o acesso de saída irrestrito que muitas vezes encontram nesses ambientes. O relatório mais recente da RedLock descobriu que “85% dos recursos associados a grupos de segurança não restringem o tráfego de saída. Isso reflete um aumento em relação ao ano passado, quando essa estatística era de 80%.” Sem nenhuma restrição no tráfego de saída, não é surpresa que a equipe do RedLock também tenha descoberto que cerca de 39% dos hosts implantados pela Amazon monitorados “exibiam padrões de atividade associados ao comprometimento de instâncias ou reconhecimento por invasores”.
Nem é preciso dizer que, se você estiver executando um console baseado na Web ou em API de qualquer tipo, será necessário bloqueá-lo. No mínimo, você precisa exigir credenciais.
Sei que as organizações têm um zilhão de regras de segurança e listas de verificação que podem parecer assustadoras. Mas quase todas elas podem ser generalizadas para se adequarem a estas três regras básicas de segurança:
1. Não confiarás na entrada do usuário. Sempre.
2. Não codificarás credenciais . Sempre.
3. Não deixarás os consoles de administração abertos.