博客

容器、API 和安全规则二

Lori MacVittie 缩略图
洛里·麦克维蒂
2018 年 9 月 10 日发布

#LockTheDoor 已经

您现在可能会认为,安全方面的事情不会令我感到惊讶。

我可能并不是感到惊讶,而是感到失望。

甚至连最基本的安全原则都未能遵守,这令人失望。 你知道,就像锁门一样。

安全规则

Lacework最近的一份报告强调了重申其中一条核心安全规则的必要性:

不得让管理控制台处于打开状态

该报告扫描了互联网,发现“超过 21,000 个容器编排和 API 管理系统”可以访问。

这本身并不令人担忧,因为其中 95% 都在 AWS 上运行。 如果您要在公共云中部署容器和 API 网关,则需要能够管理它们。 这通常是通过某种操作控制台来完成的。

令人担忧的是,我们发现 300 多个仪表板根本不需要任何凭证即可访问。

我想指出的是,并不是只有 Lacework 报告指出了这种生存风险。 早在 2017 年 5 月, RedLock 云安全报告就发布了其发现,数百个 Kubernetes 管理控制台无需凭证即可通过互联网访问。

所以这并不是什么新鲜事,但在进一步普及之前我们需要努力领先于它。 因为攻击者利用这些开放控制台所做的事情之一就是启动他们自己的容器来开展各种邪恶活动,例如比特币挖掘和机器人执行。 他们不一定想要你的数据,他们想要的是免费的计算和一组目前未被互联网拒绝名单阻止的新 IP 地址。

他们希望在这些环境中获得不受限制的出站访问。 RedLock 最新的报告发现“与安全组相关的 85% 资源根本不限制出站流量。 这比一年前(80%)有所增长。” 由于对出站流量没有任何限制,RedLock 团队还发现其监控的约 39% 的亚马逊部署主机“表现出与实例入侵或攻击者侦察相关的活动模式”,这并不奇怪。

不言而喻,如果您正在运行任何类型的基于 Web 或 API 的控制台,则需要将其锁定。 至少你需要要求有凭证。

我知道组织有无数的安全规则和清单,看起来让人难以承受。 但几乎所有规则都可以概括为符合以下三个核心安全规则:

1. 你不应该相信用户输入。 曾经。

2. 你不应该对凭证进行硬编码。 曾经。

3. 你不能让管理控制台保持打开状态。