Perigo de contêineres na nuvem

Relatório encontra acesso irrestrito aos painéis do Kubernetes, juntamente com credenciais de texto simples para outras infraestruturas críticas em ambientes de nuvem pública.

A maioria das pessoas tranca as portas – pelo menos quando não estão em casa. Afinal, ninguém quer chegar em casa e encontrar alguém descansando no sofá, assistindo Netflix e destruindo completamente os algoritmos que determinam o que aparece na "lista de recomendados" assistindo a um gênero que você nunca assistiria. Imagine o horror.

Portanto, você pode se surpreender ao saber que, com base nas estatísticas de criminalidade , cerca de 30% de todos os ladrões usam uma janela ou porta aberta ou destrancada.

Voltando nossos olhos para a tecnologia, encontramos “janelas e portas abertas” semelhantes em um relatório recente da equipe RedLock CSI . O RedLock é uma plataforma de monitoramento de segurança de infraestrutura baseada em nuvem e habilitada por API que fornece visibilidade do seu ambiente de nuvem. Então é como o ADT para a nuvem. Seu relatório recente é baseado na análise dos ambientes dos clientes. Mais de um milhão de recursos processando 12 petabytes de tráfego de rede foram avaliados. Ele descobriu alguns erros de segurança, mas este me chamou a atenção:  

A descoberta de credenciais em texto simples infelizmente não é surpreendente. Você deve se lembrar que essa questão foi levantada no início de 2016, quando discutimos “ A Nova Ameaça Interna: Estruturas de automação .” Infelizmente, se você deixar a porta da frente aberta, o uso de credenciais de texto simples para autorizar atividades em ambientes de contêiner pode constituir uma ameaça externa tão grande quanto uma interna.

Agora, poderíamos argumentar que talvez esses painéis totalmente abertos não fossem críticos e provavelmente nem mesmo produtivos. Eles são apenas testes ou desenvolvimento, certo? Eles eram um POC para conteinerizar aplicativos que mais tarde foram simplesmente esquecidos ou não considerados uma ameaça. Só que sabemos que esses tipos de ambientes não governados na nuvem contribuem para a proliferação da nuvem , o que consome orçamentos e introduz riscos além do acesso irrestrito a um sistema que pode ser instruído a iniciar inúmeros sistemas com o clique de um botão.

O mesmo relatório descobriu que “14% das contas de usuários estão inativas, onde as credenciais estão ativas, mas nenhum login ocorreu nos últimos 90 dias”, o que certamente parece fornecer mais evidências de que um bom número de recursos na nuvem estão sendo deixados sem gerenciamento – e provavelmente sem monitoramento de atividade.

Deixar até mesmo uma porta ou janela destrancada aumenta o risco. O problema com a segurança física é que, em geral, os criminosos precisam testar fisicamente sua porta para determinar seu status. Isso significa tempo e esforço físico. No mundo digital, essa exigência desapareceu. Posso escanear seus sistemas com um script e fazer com que ele me envie uma mensagem detalhando todos os sistemas encontrados em execução e abertos para acesso em questão de segundos. Há uma barreira menor de entrada no jogo de roubo digital que torna ainda mais perigoso deixar apenas uma única porta aberta.

A migração lenta, mas constante, para ambientes baseados em nuvem teve um impacto em muitos aspectos da TI. Uma questão que raramente mencionamos é a administração. Mas deveríamos, principalmente porque a maioria deles hoje são entregues por meio de uma interface baseada na web e oferecem acesso fácil à porta 80 para qualquer um que procure por ela. Isso significa que a segurança dos consoles e painéis administrativos deve ser considerada uma prioridade. Esses sistemas são construídos em componentes web padrão, muitos dos quais são vulneráveis às mesmas falhas de segurança que seus equivalentes voltados para o usuário. Seja script entre sites ou SQLi, senhas padrão ou entrada de backdoor, devemos (e isso é um DEVE no estilo RFC) dedicar tempo e orçamento para testar e proteger o lado de gerenciamento dos sistemas e ambientes que estamos usando para implantar nossos aplicativos.

Não estamos falando de um “novo” paradigma de segurança; estamos falando de segurança básica de aplicativos web. Bloquear o acesso a aplicativos da web é algo que fazemos há quase vinte anos. É bem compreendido e não deveria ser algo que ignoramos levianamente só porque é apenas desenvolvimento ou teste.

Basta uma porta aberta para que um ladrão – digital ou não – tenha acesso à sua casa inteira. E as consequências quando é digital se espalham mais e mais rápido graças à tecnologia e à facilidade com que podemos escanear, penetrar e acessar sistemas conectados.

Fique seguro lá fora. Não ignore a segurança de seus consoles e sistemas administrativos.