Tim Mackey von Black Duck zu Container- und API-Sicherheit

Admin-Dashboards offen über das Internet zugänglich

| Autor: Stephan Augsten

Tim Mackey: „Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird.“
Tim Mackey: „Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird.“ (Bild: Black Duck)

Über 22.000 offen zugängliche Container-Orchestration- und API-Management-Dashboards haben die Cloud-Sicherheitsexperten von Lacework vergangene Woche ausfindig gemacht. In einem Kommentar äußerte sich Tim Mackey, Technical Evangelist, Black Duck by Synopsys, zum Risikopotenzial.

Gut 22.000 Administrator-Dashboard von Container-Orchestrierungs- und API-Managementsystemen wie Kubernetes oder Docker Swarm sind offen über das Internet erreichbar. 95 Prozent davon sind bei Amazon AWS gehostet. In einem Bericht hebt Lacework die Risiken und Angriffspunkte hervor, die sich aus schlecht konfigurierten Ressourcen und der Verwendung unsicherer Protokolle ergeben.

Tim Mackey, Technical Evangelist, Black Duck by Synopsys hat einige Handlungsempfehlungen für Administratoren parat: „Das Wichtigste, was jeder Administrator für seine Anwendungen verwenden sollte, egal ob Container- oder Container-Orchestrierungssysteme, ist ein Authentifizierungs- und Autorisierungsmodell.

Lacework identifizierte mehr als 22.000 offen zugängliche Admin-Dashboards, von denen 305 sogar ohne Anmeldedaten zugänglich waren. Im vorliegenden Report präferiert Lacework solche Verwaltungskonsolen, die nicht öffentlich zugänglich sind. Mangelhafte Authentifizierung innerhalb von Clustern, auf die über Bastion Host oder VPN zugegriffen wird, sind jedoch genauso problematisch.

Um Orchestrierungslösungen für Container ordnungsgemäß zu sichern, ist eine umfassende Überprüfung der Rolle erforderlich, die diese Lösung in der Service-Delivery-Planung spielt. Dazu gehören Authentifizierung, aber auch Rollen- und Benutzerautorisierung, Kontingentsverwaltung, Aktivitätsprotokolle und ordnungsgemäße Segmentierung um bösartige laterale Bewegungen oder Containerausbrüche bei Angriffen zu minimieren.

Jede Container-Sicherheitsstrategie muss ein Verständnis dessen umfassen, wie Vertrauen innerhalb des Systems geschaffen wird und wie der Risikotransfer über den gesamten Lebenszyklus der Anwendungen erfolgt. Dazu zählt das Verständnis um den Ursprung des Container-Images, des Patch-Zustandes und unter welchen Bedingungen das Image gestartet werden kann, um eine laufende Applikation zu erstellen.

Wichtig ist, dass Container-Orchestrierungssysteme über rollenbasierte Zugriffsmodelle verfügen, die die Fähigkeit eines Nutzers einschränken können, eine Anwendung zu starten oder zu modifizieren oder anderweitig auf Daten innerhalb einer Anwendung zuzugreifen.

Dies bedeutet daher, dass die Fähigkeit eines Angreifers ein System zu kompromittieren, stets eine Funktion des Kontos ist, das kompromittiert wurde. Mit der Skalierung, die Container-Orchestrierung bietet, und mit Containern von vorübergehender Lebensdauer, wird ein grundlegendes Verständnis dessen, was in einem Cluster zu einem beliebigen Zeitpunkt abläuft, von größter Bedeutung. Nur an diesem Punkt ist eine Erkennung von Sicherheitsvorfällen möglich.“

* Tim Mackey ist Technology Evangelist bei Black Duck by Synopsy

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376070 / Container & Virtualisierung)