컨테이너, API 및 보안 규칙 2

#LockTheDoor 이미

이제는 보안에 관한 이야기가 나와도 놀랄 일은 없을 거라고 생각하실 겁니다.

놀란 것이 아니라 실망한 것일지도 모르겠다.

가장 기본적인 보안 원칙조차 준수하지 않는 데 실망했습니다. 알다시피, 문을 잠그는 것처럼요.

Lacework 의 최근 보고서는 공통 핵심 보안 규칙 중 하나를 반복해야 할 필요성을 강조했습니다.

관리자 콘솔을 열어두지 마십시오

인터넷을 검색한 보고서는 "21,000개 이상의 컨테이너 오케스트레이션 및 API 관리 시스템"에 대한 접근 가능성을 발견했습니다.

하지만 그 자체로는 그 중 95%가 AWS에서 실행되고 있다는 점을 고려하면 크게 우려할 일은 아닙니다. 퍼블릭 클라우드에 컨테이너와 API 게이트웨이를 배포하려면 이를 관리할 수 있어야 합니다. 이는 대개 일종의 운영 콘솔을 통해 수행됩니다.

우려되는 점은 해당 대시보드 중 300개 이상이 접근하는 데 자격 증명이 전혀 필요하지 않다는 것입니다.

레이스워크 보고서만이 이러한 실존적 위험을 지적한 것은 아니라는 점을 지적하고 싶습니다. 2017년 5월, RedLock 클라우드 보안 보고서는 자격 증명 없이도 인터넷을 통해 접근할 수 있는 수백 개의 Kubernetes 관리 콘솔에 대한 결과를 발표했습니다.

이건 새로운 것은 아니지만, 더 광범위하게 채택되기 전에 우리가 앞서나가야 할 문제입니다. 공격자가 이런 개방형 콘솔을 이용해 하는 일 중 하나가 바로 자체 컨테이너를 실행해 비트코인 채굴 , 봇 실행 등 다양한 불법적인 활동을 실행하는 것입니다. 그들은 꼭 여러분의 데이터를 노리는 게 아니라, 무료 컴퓨팅과 현재 인터넷의 차단 목록에서 차단되지 않은 새로운 IP 주소 세트를 원합니다.

그리고 그들은 이런 환경에서 흔히 발견되는 제한 없는 아웃바운드 액세스를 원합니다. 가장 최근의 RedLock 보고서에 따르면 "보안 그룹과 관련된 리소스의 85%가 아웃바운드 트래픽을 전혀 제한하지 않습니다. 이는 해당 통계가 80%였던 1년 전에 비해 증가한 것입니다." 아웃바운드 트래픽에 대한 제한이 없기 때문에 RedLock 팀이 모니터링하는 Amazon 배포 호스트의 약 39%가 "공격자의 인스턴스 손상 또는 정찰과 관련된 활동 패턴을 보인다"는 것을 발견한 것도 놀라운 일이 아닙니다.

웹 기반 또는 API 기반 콘솔을 실행 중인 경우 반드시 잠가야 한다는 것은 말할 필요도 없습니다. 최소한 신임장이 필요합니다.

조직에는 엄청나게 많은 보안 규칙과 체크리스트가 있는데, 그걸 다 지키기란 쉽지 않습니다. 그러나 거의 대부분은 다음 세 가지 핵심 보안 규칙에 맞게 일반화될 수 있습니다.

1. 사용자의 입력을 믿지 마세요. 항상.

2. 자격 증명을 하드코딩해서는 안 됩니다 . 항상.

3. 관리자 콘솔을 열어두지 마세요.