全球有2.2万个容器指挥调度与API管理系统曝露在公网上

专门提供云计算安全服务的Lacework本周发布一研究报告，指称他们在今年6月初于公开网络上发现超过2.2万个容器指挥调度与API管理系统。

容器与容器指挥调度系统近年来快速崛起，用来管理这些系统的除了网页接口与相关API之外，还有管理仪表板与API，后者允许用户于单一接口上执行集群的各项管理功能，包含管理应用程序与容器、执行任务、添加及修改应用程序，以及设置安全控制等。

Lacework借由网页爬梳、Shodan、SSL数据采矿，再加上其它内部工具在网络上找到了22,672个可公开访问的容器管理节点，即便多数的管理接口都有凭证保护，但光是公开，就可能让黑客取得重要的信息，进而执行暴力破解或字典攻击。

分析显示，这些曝露于网络上的容器指挥调度与API管理系统可能源自于贫乏的配置资源、缺乏凭证，或是采用了不安全的协议，在Lacework所发现的22,672个容器调度平台中，有95%由AWS代管，只有少数是放置于Google Cloud、OVH或其它云计算平台，并有58%位于美国，其它依次是爱尔兰、德国、澳洲、新加坡与英国。

此外，在这些不安全的管理集群中，有305个没有激活认证机制，意味着黑客将可自由访问，或是借由API与UI执行远程程序攻击。

至于最热门的容器指挥调度系统则是Kubernetes，占了78%，其它依次是Docker Swarm系列（Docker Swarm、Portainer.IO与Swarmpit）、Mesos与Marathon。

Lacework建议容器管理者应先确认其调度系统的外部访问权限，执行多重因素访问验证，采用严格的网络访问控制，特别是UI与API端口，部署SSL及有效的凭证；Lacework也特别对最受欢迎的Kubernetes提供建议，包括让Kubernetes pods只执行只读文件系统，限制Kubernetes中的权限扩张，以及打造pod的安全策略。