コンテナ、API、セキュリティ ルール 2

#LockTheDoor はもう

今では、セキュリティに関しては何にも驚かないと思われるでしょう。

驚いたというよりは、がっかりしたのかもしれません。

最も基本的なセキュリティ原則さえ遵守されていないことに失望しています。 たとえば、ドアをロックするとか。

Laceworkの最近のレポートでは、共通コア セキュリティ ルールの 1 つを繰り返し強調する必要性を強調しました。

管理コンソールを開いたままにしてはならない

インターネットをスキャンしたこのレポートでは、「21,000以上のコンテナオーケストレーションおよびAPI管理システム」がアクセス可能であることが発見されました。

そのうち 95% が AWS で実行されていたことを考えると、それ自体は心配する必要はありません。 パブリック クラウドにコンテナと API ゲートウェイを展開する場合は、それらを管理できる必要があります。 これは、ほとんどの場合、何らかの操作コンソールを介して実行されます。

懸念されるのは、これらのダッシュボードのうち 300 個以上がアクセスに資格情報をまったく必要としないことが判明したことです。

この実存的リスクを指摘しているのは、レースワーク報告書だけではないことに注意したい。 2017 年 5 月に、 RedLock クラウド セキュリティ レポートで、資格情報を必要とせずにインターネット経由でアクセスできる Kubernetes 管理コンソールが数百個あるという調査結果が発表されました。

したがって、これは新しいことではありませんが、広範な採用がさらに進む前に、私たちが先手を打つ必要があることです。 攻撃者がこれらのオープン コンソールで行うことの 1 つは、独自のコンテナーを起動して、ビットコインのマイニングやボットの実行など、さまざまな不正なアクティビティを実行することです。 彼らは必ずしもあなたのデータを狙っているわけではなく、無料のコンピューティングと、現在インターネット全体のブラックリストでブロックされていない新しい IP アドレスのセットを望んでいます。

そして、彼らは、こうした環境でよく見られるような、制限のないアウトバウンド アクセスを望んでいます。 最新の RedLock レポートによると、「セキュリティ グループに関連付けられたリソースの 85% は、送信トラフィックをまったく制限していません。 これは、1年前の統計が80％であったことと比較して増加していることを反映しています。」 送信トラフィックに制限がないため、RedLock チームが監視している Amazon 導入ホストの約 39% が「インスタンスの侵害や攻撃者による偵察に関連するアクティビティ パターンを示している」ことを発見したのも当然です。

言うまでもなく、Web ベースまたは API ベースのコンソールを実行している場合は、それをロックダウンする必要があります。 最低限、資格情報を要求する必要があります。

組織には膨大な数のセキュリティ ルールとチェックリストがあり、圧倒されることもあると思います。 しかし、それらのほとんどは、次の 3 つのコア セキュリティ ルールに適合するように一般化できます。

1. ユーザー入力を信頼してはならない。 これまで。

2. 資格情報をハードコードしてはならない。 これまで。

3. 管理コンソールを開いたままにしないでください。