圖片來源: 

Lacework

專門提供雲端安全服務的Lacework本周發表一研究報告,指稱他們在今年6月初於公開網路上發現逾2.2萬個容器指揮調度與API管理系統。

容器與容器指揮調度系統近年來快速崛起,用來管理這些系統的除了網頁介面與相關API之外,還有管理儀表板與API,後者允許使用者於單一介面上執行叢集的各項管理功能,包含管理應用程式與容器、執行任務、新增及修改應用程式,以及設定安全控制等。

Lacework藉由網頁爬梳、Shodan、SSL資料採礦,再加上其它內部工具在網路上找到了22,672個可公開存取的容器管理節點,即便多數的管理介面都有憑證保護,但光是公開,就可能讓駭客取得重要的資訊,進而執行暴力破解或字典攻擊。

分析顯示,這些曝露於網路上的容器指揮調度與API管理系統可能源自於貧乏的配置資源、缺乏憑證,或是採用了不安全的協定,在Lacework所發現的22,672個容器調度平台中,有95%由AWS代管,只有少數是置放於Google Cloud、OVH或其它雲端平台,並有58%位於美國,其它依序是愛爾蘭、德國、澳洲、新加坡與英國。

此外,在這些不安全的管理叢集中,有305個沒有啟用認證機制,意味著駭客將可自由存取,或是藉由API與UI執行遠端程式攻擊。

至於最熱門的容器指揮調度系統則是Kubernetes,佔了78%,其它依序是Docker Swarm系列(Docker Swarm、Portainer.IO與Swarmpit)、Mesos與Marathon。

Lacework建議容器管理者應先確認其調度系統的外部存取權限,執行多重因素存取驗證,採用嚴格的網路存取控制,特別是UI與API埠,部署SSL及有效的憑證;Lacework也特別對最受歡迎的Kubernetes提供建議,包括讓Kubernetes pods只執行唯讀檔案系統,限制Kubernetes中的權限擴張,以及打造pod的安全政策。


Advertisement

更多 iThome相關內容