目前,直接暴露在互联网上的开放式容器编排与API管理系统已经超过22600个。
最新研究证实,许多组织正在将其工作负载部署至公有云当中,但却没有为其提供充分的安全控制与保护流程。
Lacework公司最近利用Shodan搜索引擎、SSL数据挖掘技术以及一系列内部开发工具在互联网上发现多达22672个开放式容器编排仪表板及API管理系统。Lacework方面在研究过程中发现,这些应用具体包括Kubernetes、Mesos Marathon、Swagger API、红帽OpenShift以及Docker Swarm的Portainer与Warmpit。
其中约95%的公开仪表板及管理系统都托管在Amazon Web Services当中。这些服务中有半数以上归属于美国的AWS区域。尽管绝大多数开放容器编排接口都设有控制访问权限的验证机制,但其全面暴露仍然会带来极大的安全隐患,Lacework公司首席安全官Dan Hubbard提醒称。
仪表板在容器集群管理及控制所需的一切功能当中皆拥有顶级访问权限。任何有权访问仪表板的人都能够执行各类操作,例如启动及停止工作负载、添加或修改应用程序以及设置关键安全控制选项等等。
未经正确配置且暴露在互联网上的容器管理接口无疑将成为企业面临的一大风险。Hubbard指出,“即使设有凭证,与组织相关的信息同样有可能遭到泄露。”其中包括主机头或SSL证书中包含的信息。例如,细心的研究人员能够相对容易地从证书及主机名称中获取企业名称,且完全 无需访问公开的容器接口。
弱验证机制——例如证书要求缺失——可能允许攻击者暴力破解容器管理接口的密码。同样的,未使用SSL则意味着攻击者能够获取明文验证密码并获得访问权限。容器应用程序本身存在的任何漏洞亦可能通过公开的管理仪表板被攻击者加以利用。
Lacework公司的研究还发现了约300个缺少验证机制的容器管理仪表板,攻击者将能够借此轻松启动及停止容器、删除或清除信息并收集基础设施数据。这种完全开放的仪表板还允许攻击者借此横向移动至其它云资源处、登录云实例并启动新的实例以进行比特币采矿或DDoS滥用。此外,攻击者还可以利用仪表板设置后门程序,或者投放用于命令与控制以及其它活动的恶意代码。
由于Kubernetes目前已经成为最受欢迎且增长速度最快的容器编排与管理系统之一,因此Lacework研究人员决定深入探寻在公有云中使用这些仪表板的一些相关问题。尽管Kubernetes提供默认的SSL启用及身份验证等安全功能,但Lacework研究人员仍然发现了很多尚未设置完成且缺少验证机制的开放Kubernetes仪表板;这些仪表板有可能受到暴力破解并导致相关组织信息遭到泄露。
研究人员们还发现了38套运行有“Healthz”Kubernetes环境容器健康状态检查服务的服务器,其存在于互联网之上且没有任何身份验证机制加以保护。除了可能为攻击者提供潜在的完整远程代码执行能力之外,该程序还公布工作负载监控结果并可通过仪表板阻止这些负载的运行。
这些数据再次证明,组织在公有云环境中部署容器时必须遵循最基本的安全最佳实践。Hubbard提醒称,其中包括将容器保护在代理之后、使用多因素身份验证机制与基于角色的模式以控制访问活动,同时强制使用SSL。通过管理接口限制操作范围也是个不错的主意。举例来说,大家不应将所有工作负载都塞进同一套管理中心——因为一旦某个Pod受到攻击,所有工作负载都将因此面临风险。
Hubbard总结称,“我们得出的总体结论在于,DevOps与安全团队之间需要进行沟通,并在流程与技术层面构建起桥梁。容器的运营模式不同于以往,我们必须正视这一点。”
原文链接:https://www.darkreading.com/vulnerabilities---threats/exposed-container-orchestration-systems-putting-many-orgs-at-risk/d/d-id/1332084
Kubernetes入门与进阶实战培训