Suchen

Tim Mackey von Black Duck zu Container- und API-Sicherheit Admin-Dashboards offen über das Internet zugänglich

Autor: Stephan Augsten

Über 22.000 offen zugängliche Container-Orchestration- und API-Management-Dashboards haben die Cloud-Sicherheitsexperten von Lacework vergangene Woche ausfindig gemacht. In einem Kommentar äußerte sich Tim Mackey, Technical Evangelist, Black Duck by Synopsys, zum Risikopotenzial.

Firmen zum Thema

Tim Mackey: „Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird.“
Tim Mackey: „Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird.“
(Bild: Black Duck)

Gut 22.000 Administrator-Dashboard von Container-Orchestrierungs- und API-Managementsystemen wie Kubernetes oder Docker Swarm sind offen über das Internet erreichbar. 95 Prozent davon sind bei Amazon AWS gehostet. In einem Bericht hebt Lacework die Risiken und Angriffspunkte hervor, die sich aus schlecht konfigurierten Ressourcen und der Verwendung unsicherer Protokolle ergeben.

Tim Mackey, Technical Evangelist, Black Duck by Synopsys hat einige Handlungsempfehlungen für Administratoren parat: „Das Wichtigste, was jeder Administrator für seine Anwendungen verwenden sollte, egal ob Container- oder Container-Orchestrierungssysteme, ist ein Authentifizierungs- und Autorisierungsmodell.

Lacework identifizierte mehr als 22.000 offen zugängliche Admin-Dashboards, von denen 305 sogar ohne Anmeldedaten zugänglich waren. Im vorliegenden Report präferiert Lacework solche Verwaltungskonsolen, die nicht öffentlich zugänglich sind. Mangelhafte Authentifizierung innerhalb von Clustern, auf die über Bastion Host oder VPN zugegriffen wird, sind jedoch genauso problematisch.

Um Orchestrierungslösungen für Container ordnungsgemäß zu sichern, ist eine umfassende Überprüfung der Rolle erforderlich, die diese Lösung in der Service-Delivery-Planung spielt. Dazu gehören Authentifizierung, aber auch Rollen- und Benutzerautorisierung, Kontingentsverwaltung, Aktivitätsprotokolle und ordnungsgemäße Segmentierung um bösartige laterale Bewegungen oder Containerausbrüche bei Angriffen zu minimieren.

Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird und wie der Risikotransfer über den gesamten Lebenszyklus der Anwendungen erfolgt. Dazu zählt das Verständnis um den Ursprung des Container-Images, des Patch-Zustandes und unter welchen Bedingungen das Image gestartet werden kann, um eine laufende Applikation zu erstellen.

Wichtig ist, dass Container-Orchestrierungssysteme über rollenbasierte Zugriffsmodelle verfügen, die die Fähigkeit eines Nutzers einschränken können, eine Anwendung zu starten oder zu modifizieren oder anderweitig auf Daten innerhalb einer Anwendung zuzugreifen.

Dies bedeutet daher, dass die Fähigkeit eines Angreifers ein System zu kompromittieren, stets eine Funktion des Kontos ist, das kompromittiert wurde. Mit der Skalierung, die Container-Orchestrierung bietet, und mit Containern von vorübergehender Lebensdauer, wird ein grundlegendes Verständnis dessen, was in einem Cluster zu einem beliebigen Zeitpunkt abläuft, von größter Bedeutung. Nur an diesem Punkt ist eine Erkennung von Sicherheitsvorfällen möglich.“

* Tim Mackey ist Technology Evangelist bei Black Duck by Synopsy

Artikelfiles und Artikellinks

(ID:45376070)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider