Contenedores, API y regla de seguridad número dos

#CierraLaPuerta ya

A estas alturas ya pensaría que nada en materia de seguridad me sorprendería.

Quizás no es que me sorprenda sino más bien que me desilusione.

Decepcionado por el fracaso a la hora de adherirse incluso a los principios de seguridad más básicos. Ya sabes, como cerrar la puerta con llave.

Un informe reciente de Lacework destacó la necesidad de reiterar una de las reglas básicas de seguridad comunes:

NO DEJARÁS ABIERTAS LAS CONSOLAS DE ADMINISTRACIÓN

El informe, que escaneó Internet, descubrió “más de 21.000 sistemas de orquestación de contenedores y gestión de API” accesibles.

Eso en sí no es preocupante, dado que el 95 % de ellos se ejecutaban en AWS. Si va a implementar contenedores y puertas de enlace de API en la nube pública, debe poder administrarlos. Lo más frecuente es que esto se haga mediante algún tipo de consola operativa.

Lo preocupante es que se descubrió que más de 300 de esos paneles no requerían ninguna credencial para acceder.

Quiero señalar que no es sólo el informe Lacework el que señala este riesgo existencial. En mayo de 2017, el Informe de seguridad en la nube de RedLock publicó el hallazgo de cientos de consolas administrativas de Kubernetes accesibles a través de Internet sin necesidad de credenciales.

Así que esto no es algo nuevo, pero es algo que debemos intentar superar antes de que su adopción generalizada se amplíe aún más. Porque una de las cosas que hacen los atacantes con estas consolas abiertas es activar sus propios contenedores para realizar una variedad de actividades nefastas, como la minería de bitcoins y la ejecución de bots. No buscan necesariamente tus datos, quieren computación gratuita y un nuevo conjunto de direcciones IP que no estén actualmente bloqueadas en las listas de bloqueados de Internet.

Y quieren el acceso saliente sin restricciones que con demasiada frecuencia encuentran en estos entornos. El informe más reciente de RedLock descubrió que “el 85% de los recursos asociados con grupos de seguridad no restringen el tráfico saliente en absoluto. “Esto refleja un aumento respecto a hace un año, cuando esa estadística era del 80%”. Sin restricciones en el tráfico saliente, no sorprende que el equipo de RedLock también haya descubierto que alrededor del 39 % de los hosts implementados por Amazon que monitorea "exhiben patrones de actividad asociados con el compromiso o reconocimiento de instancias por parte de atacantes".

No hace falta decir que, si estás ejecutando una consola basada en API o web de cualquier tipo, debes bloquearla. Como mínimo, es necesario exigir credenciales.

Sé que las organizaciones tienen un montón de reglas y listas de verificación de seguridad que pueden parecer abrumadoras. Pero casi todas pueden generalizarse para ajustarse a estas tres reglas de seguridad fundamentales:

1. No confiarás en las aportaciones del usuario. Alguna vez.

2. No deberás codificar credenciales de forma rígida . Alguna vez.

3.No dejarás abiertas las consolas de administración.