Conteneurs, API et règle de sécurité n°2
#LockTheDoor déjà
On pourrait penser qu’à présent, rien ne me surprendrait en matière de sécurité.
Ce n’est peut-être pas que je suis surpris, mais plutôt déçu.
Déçu par le non-respect des principes de sécurité les plus élémentaires. Tu sais, comme verrouiller la porte.
Un rapport récent de Lacework a souligné la nécessité de réitérer l’une des règles de sécurité fondamentales communes :
TU NE LAISSERAS PAS LES CONSOLES D'ADMINISTRATION OUVERTES
Le rapport, qui a analysé Internet, a découvert « plus de 21 000 systèmes d’orchestration de conteneurs et de gestion d’API » accessibles.
En soi, cela n’est pas inquiétant étant donné que 95 % d’entre eux fonctionnaient dans AWS. Si vous envisagez de déployer des conteneurs et des passerelles API dans le cloud public, vous devez être en mesure de les gérer. Cela se fera le plus souvent via une sorte de console opérationnelle.
Ce qui est inquiétant, c’est que plus de 300 de ces tableaux de bord ne nécessitaient absolument aucune information d’identification pour y accéder.
Je tiens à souligner que ce n’est pas seulement le rapport Lacework qui relève ce risque existentiel. En mai 2017, le rapport RedLock Cloud Security a publié ses conclusions selon lesquelles des centaines de consoles d'administration Kubernetes sont accessibles via Internet sans nécessiter d'informations d'identification.
Ce n’est donc pas une nouveauté, mais c’est une chose que nous devons essayer d’anticiper avant que l’adoption généralisée ne s’accélère davantage. Car l’une des choses que les attaquants font avec ces consoles ouvertes est de lancer leurs propres conteneurs pour mener diverses activités néfastes telles que l’extraction de bitcoins et l’exécution de robots. Ils ne recherchent pas nécessairement vos données, ils veulent du calcul gratuit et un nouvel ensemble d'adresses IP qui ne sont pas actuellement bloquées sur les listes de refus sur Internet.
Et ils veulent un accès sortant sans entrave, comme ils le trouvent trop souvent dans ces environnements. Le rapport RedLock le plus récent a révélé que « 85 % des ressources associées aux groupes de sécurité ne restreignent pas du tout le trafic sortant. Cela reflète une augmentation par rapport à il y a un an, lorsque cette statistique était de 80 %. Sans restriction sur le trafic sortant, il n'est pas surprenant que l'équipe RedLock ait également découvert qu'environ 39 % des hôtes déployés par Amazon qu'elle surveille « présentent des modèles d'activité associés à une compromission d'instance ou à une reconnaissance par des attaquants ».
Il va sans dire que si vous utilisez une console Web ou API de quelque type que ce soit, vous devez la verrouiller. Au strict minimum, vous devez exiger des informations d’identification.
Je sais que les organisations ont des milliards de règles de sécurité et de listes de contrôle qui peuvent sembler écrasantes. Mais presque toutes peuvent être généralisées pour s’adapter à ces trois règles de sécurité fondamentales :
1. Tu ne feras pas confiance aux commentaires des utilisateurs. Jamais.
2. Tu ne coderas pas en dur les informations d'identification . Jamais.
3. Tu ne laisseras pas les consoles d’administration ouvertes.