云中的容器危险

报告发现，可以不受限制地访问 Kubernetes 仪表板以及公共云环境中其他关键基础设施的纯文本凭证。

大多数人都会锁门——至少当他们不在家时。 毕竟，没人希望回到家时发现有人躺在沙发上看 Netflix，而通过观看一些你永远不会看的类型的内容，完全摧毁决定“推荐列表”中出现的内容的算法。 想象一下那该有多恐怖。

因此，您可能会惊讶地了解到，根据犯罪统计数据，大约 30% 的窃贼都是使用打开或未锁的窗户或门。

将目光转向技术，我们在RedLock CSI团队最近的一份报告中发现了类似的“敞开的窗户和门”。 RedLock 是一个基于云的、支持 API 的基础设施安全监控平台，可提供对您的云环境的可见性。 所以它就像是云的 ADT。 其最近的报告基于对客户环境的分析。 我们评估了超过一百万个处理 12PB 网络流量的资源。 它发现了很多安全禁忌，但这个引起了我的注意：  

不幸的是，发现明文凭证并不令人惊讶。 您可能还记得，这个问题是在 2016 年初我们讨论“新的内部威胁”时提出的： 自动化框架”。 遗憾的是，如果您将前门敞开，使用纯文本凭据授权跨容器环境的活动可能会构成与内部威胁一样大的外部威胁。

现在，我们可以争辩说，这些敞开的仪表板可能并不重要，甚至可能与生产无关。 他们只是在测试或者开发，对吗？ 它们是后来容器化应用程序的 POC，但后来这些应用程序就被遗忘了，或者没有被视为威胁。 但我们知道，云中这些类型的不受管制的环境会导致云蔓延，从而蚕食预算并带来其他风险，而不仅仅是不受限制地访问系统，只需单击按钮即可启动无数系统。

同一报告还发现，“14%的用户账户处于休眠状态，虽然凭证有效，但在过去90天内没有登录过”，这似乎进一步证明了云端的大量资源无人管理，而且很可能没有对其活动进行监控。

即使有一扇门或一扇窗没有锁，风险也会增加。 关于物理安全，一般来说，不法分子必须对你的门进行物理测试才能确定其状态。 这意味着要付出体力和精力。 但在数字世界中，这一要求已经不复存在。 我可以使用脚本扫描您的系统，并让它向我发送一条消息，详细说明它发现的所有正在运行并开放访问的系统，只需几秒钟。 数字盗窃游戏的进入门槛较低，这使得只开一扇门就变得更加危险。

缓慢但稳定的向基于云的环境的迁移对 IT 的许多方面产生了影响。 我们很少提及的是管理。 但我们应该这样做，特别是因为如今大多数服务都是通过基于网络的界面提供的，并且为任何需要的人提供方便的 80 端口访问。 这意味着必须优先考虑管理控制台和仪表板的安全性。 这些系统建立在标准的 Web 组件上，其中许多组件与面向用户的组件一样容易受到相同的安全漏洞的影响。 无论是跨站点脚本还是 SQLi、默认密码还是后门入口，我们都必须（这是 RFC 样式的必须）投入时间和预算来测试和保护我们用于部署应用程序的系统和环境的管理端。

我们谈论的并不是“新”安全范式；我们谈论的是基本的网络应用程序安全。 锁定对网络应用程序的访问是我们近二十年来一直在做的事情。 这是很好理解的，我们不应该仅仅因为它只是开发或测试而轻率地忽略它。

窃贼只需打开一扇门（无论是否数字化）就能进入您的整个房子。 由于技术的进步以及我们扫描、渗透和访问联网系统的便利性，数字化后的影响传播得更远、更快。

在外面要注意安全。 不要忽视管理控制台和系统的安全性。