Container-Gefahr in der Cloud
Der Bericht stellt uneingeschränkten Zugriff auf Kubernetes-Dashboards sowie Klartext-Anmeldeinformationen für andere kritische Infrastrukturen in öffentlichen Cloud-Umgebungen fest.
Die meisten Menschen schließen ihre Türen ab – zumindest, wenn sie nicht zu Hause sind. Schließlich möchte niemand nach Hause kommen und jemanden auf der Couch liegen sehen, der Netflix guckt und die Algorithmen, die bestimmen, was in der „empfohlenen Liste“ angezeigt wird, völlig zerstört, indem er ein Genre anschaut, das man selbst niemals schauen würde. Stellen Sie sich den Horror vor.
Daher mag es Sie überraschen, dass der Kriminalstatistik zufolge etwa 30 % aller Einbrecher offene oder unverschlossene Fenster oder Türen nutzen.
Wenn wir unseren Blick auf die Technologie richten, finden wir in einem aktuellen Bericht des RedLock CSI- Teams ähnliche „offene Fenster und Türen“. RedLock ist eine cloudbasierte, API-fähige Plattform zur Überwachung der Infrastruktursicherheit, die Ihnen Einblick in Ihre Cloudumgebung bietet. Es ist also wie ADT für die Cloud. Der aktuelle Bericht basiert auf der Analyse der Kundenumgebungen. Es wurden über eine Million Ressourcen ausgewertet, die 12 Petabyte Netzwerkverkehr verarbeiteten. Dabei wurden eine ganze Reihe von Sicherheitslücken entdeckt, aber dies ist mir besonders aufgefallen:
285 Kubernetes-Dashboards (webbasierte Verwaltungsoberfläche), die auf Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform bereitgestellt wurden und nicht passwortgeschützt waren. Bei weiteren Untersuchungen fand das Team Klartext-Anmeldeinformationen zu anderen kritischen Infrastrukturen innerhalb der Kubernetes-Systeme. [Hervorhebung von mir]
Die Entdeckung der Anmeldeinformationen im Klartext ist leider keine Überraschung. Sie erinnern sich vielleicht, dass dieses Thema Anfang 2016 angesprochen wurde, als wir „ Die neue Insider-Bedrohung“ diskutierten: Automatisierungs-Frameworks .“ Wenn Sie die Vordertür offen lassen, kann die Verwendung von Klartext-Anmeldeinformationen zur Autorisierung von Aktivitäten in Containerumgebungen leider eine ebenso große Bedrohung von außen wie von innen darstellen.
Nun könnten wir argumentieren, dass diese weit geöffneten Dashboards möglicherweise nicht kritisch und wahrscheinlich nicht einmal produktionsbezogen waren. Es handelt sich doch nur um Test- oder Entwicklungsaufgaben, oder? Sie dienten als POC für die spätere Containerisierung von Apps, die einfach vergessen oder nicht als Bedrohung angesehen wurden. Wir wissen jedoch, dass derartige unkontrollierte Umgebungen in der Cloud zur Ausbreitung der Cloud beitragen , die wiederum Budgets aufzehrt und andere Risiken mit sich bringt als etwa den ungehinderten Zugriff auf ein System, dem man mit einem einzigen Mausklick den Befehl geben kann, zahllose Systeme hochzufahren.
Derselbe Bericht stellte fest, dass „14 % der Benutzerkonten inaktiv sind und die Anmeldeinformationen zwar aktiv sind, in den letzten 90 Tagen jedoch keine Anmeldungen erfolgt sind“. Dies scheint ein weiterer Beweis dafür zu sein, dass eine beträchtliche Anzahl von Ressourcen in der Cloud unverwaltet bleibt – und ihre Aktivität wahrscheinlich auch nicht überwacht wird.
Das Risiko erhöht sich, wenn auch nur eine Tür oder ein Fenster unverschlossen bleibt. Bei der physischen Sicherheit geht es im Allgemeinen darum, dass Übeltäter Ihre Tür physisch testen müssen, um ihren Status festzustellen. Das bedeutet körperlichen Zeit- und Arbeitsaufwand. In der digitalen Welt gibt es diese Anforderung nicht mehr. Ich kann Ihre Systeme mit einem Skript scannen und mir innerhalb von Sekunden eine Nachricht mit einer Liste aller Systeme senden lassen, die ausgeführt werden und für den Zugriff geöffnet sind. Die Eintrittsbarriere beim digitalen Einbruch ist niedriger und daher ist es noch gefährlicher, auch nur eine einzige Tür offen zu lassen.
Die langsame, aber stetige Migration zu Cloud-basierten Umgebungen hat Auswirkungen auf viele Aspekte der IT. Ein Aspekt, den wir selten erwähnen, ist die Verwaltung. Aber das sollten wir tun, insbesondere da die meisten davon heutzutage über eine webbasierte Schnittstelle bereitgestellt werden und jedem, der danach sucht, einen einfachen Zugriff über Port 80 bieten. Das bedeutet, dass der Sicherheit von Verwaltungskonsolen und Dashboards Priorität eingeräumt werden muss. Diese Systeme basieren auf standardmäßigen Webkomponenten, von denen viele dieselben Sicherheitsmängel aufweisen wie ihre benutzerorientierten Gegenstücke. Egal, ob es sich um Cross-Site-Scripting oder SQLi, Standardkennwörter oder Hintertürchen handelt, wir müssen (und das ist ein MUSS im RFC-Stil) Zeit und Budget für das Testen und Sichern der Verwaltungsseite der Systeme und Umgebungen aufwenden, die wir zum Bereitstellen unserer Apps verwenden.
Wir sprechen hier nicht von einem „neuen“ Sicherheitsparadigma, sondern von der grundlegenden Sicherheit von Webanwendungen. Den Zugriff auf Webanwendungen zu sperren, ist eine Praxis, die wir mittlerweile seit fast zwanzig Jahren praktizieren. Das ist allgemein bekannt und wir sollten es nicht einfach ignorieren, nur weil es sich nur um Entwicklung oder einen Test handelt.
Ein Einbrecher – ob digital oder nicht – braucht nur eine offene Tür, um sich Zugang zu Ihrem gesamten Haus zu verschaffen. Und die Folgen einer Digitalisierung verbreiten sich dank der Technologie und der Leichtigkeit, mit der wir verbundene Systeme scannen, in sie eindringen und darauf zugreifen können, weiter und schneller.
Passen Sie da draußen auf sich auf. Ignorieren Sie nicht die Sicherheit Ihrer Verwaltungskonsolen und -systeme.