Container, APIs und Sicherheitsregel Zwei

#LockTheDoor schon

Man könnte meinen, dass mich in Sachen Sicherheit mittlerweile nichts mehr überraschen würde.

Vielleicht bin ich nicht überrascht, sondern eher enttäuscht.

Enttäuscht über die Nichteinhaltung selbst der grundlegendsten Sicherheitsprinzipien. Wissen Sie, wie zum Beispiel die Tür abschließen.

Ein aktueller Bericht von Lacework unterstrich die Notwendigkeit, eine der gemeinsamen Kernsicherheitsregeln zu wiederholen:

DU SOLLST KEINE ADMIN-KONSOLEN GEÖFFNET LASSEN

Der Bericht, der das Internet durchsuchte, entdeckte „mehr als 21.000 zugängliche Container-Orchestrierungs- und API-Managementsysteme“.

Dies allein ist nicht besorgniserregend, wenn man bedenkt, dass 95 % davon in AWS ausgeführt wurden. Wenn Sie Container und API-Gateways in der öffentlichen Cloud bereitstellen möchten, müssen Sie in der Lage sein, diese zu verwalten. Dies wird meistens über eine Art Bedienkonsole erreicht.

Beunruhigend ist, dass für den Zugriff auf über 300 dieser Dashboards keinerlei Anmeldeinformationen erforderlich waren.

Ich möchte darauf hinweisen, dass dieses existenzielle Risiko nicht nur im Lacework-Bericht festgestellt wird. Bereits im Mai 2017 veröffentlichte der RedLock Cloud Security Report die Feststellung, dass auf Hunderte von Kubernetes-Verwaltungskonsolen über das Internet ohne Anmeldeinformationen zugegriffen werden konnte.

Dies ist also nichts Neues, aber wir müssen versuchen, der Sache zuvorzukommen, bevor die Verbreitung weiter zunimmt. Denn Angreifer nutzen diese offenen Konsolen unter anderem dazu, ihre eigenen Container zu starten und damit eine Reihe schändlicher Aktivitäten durchzuführen, etwa Bitcoin-Mining oder die Ausführung von Bots. Es geht ihnen nicht unbedingt um Ihre Daten, sondern um kostenlose Rechenleistung und einen neuen Satz IP-Adressen, die derzeit nicht auf Blockierungslisten im Internet gesperrt sind.

Und sie möchten den uneingeschränkten ausgehenden Zugriff, den sie in diesen Umgebungen nur allzu oft vorfinden. Der jüngste RedLock-Bericht ergab, dass „85 % der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr überhaupt nicht einschränken. Dies stellt einen Anstieg gegenüber dem Vorjahr dar, als dieser Wert noch 80 % betrug.“ Da es keine Beschränkungen für den ausgehenden Datenverkehr gibt, überrascht es nicht, dass das RedLock-Team auch bei etwa 39 % der von ihm überwachten Hosts von Amazon „Aktivitätsmuster fand, die mit der Kompromittierung der Instanz oder der Aufklärung durch Angreifer in Zusammenhang stehen“.

Es versteht sich von selbst, dass Sie jede Art web- oder API-basierter Konsole sperren müssen. Als absolutes Minimum müssen Sie Anmeldeinformationen verlangen.

Ich weiß, dass Organisationen über zahllose Sicherheitsregeln und Checklisten verfügen, die überwältigend wirken können. Aber fast alle lassen sich verallgemeinern, sodass sie diesen drei grundlegenden Sicherheitsregeln entsprechen:

1. Du sollst den Benutzereingaben nicht vertrauen. Immer.

2. Du sollst die Anmeldeinformationen nicht fest codieren . Immer.

3. Du sollst die Admin-Konsole nicht geöffnet lassen.