专门提供云计算安全服务的Lacework本周发布一研究报告,指称他们在今年6月初于公开网络上发现超过2.2万个容器指挥调度与API管理系统。
容器与容器指挥调度系统近年来快速崛起,用来管理这些系统的除了网页接口与相关API之外,还有管理仪表板与API,后者允许用户于单一接口上执行集群的各项管理功能,包含管理应用程序与容器、执行任务、添加及修改应用程序,以及设置安全控制等。
Lacework借由网页爬梳、Shodan、SSL数据采矿,再加上其它内部工具在网络上找到了22,672个可公开访问的容器管理节点,即便多数的管理接口都有凭证保护,但光是公开,就可能让黑客取得重要的信息,进而执行暴力破解或字典攻击。
分析显示,这些曝露于网络上的容器指挥调度与API管理系统可能源自于贫乏的配置资源、缺乏凭证,或是采用了不安全的协议,在Lacework所发现的22,672个容器调度平台中,有95%由AWS代管,只有少数是放置于Google Cloud、OVH或其它云计算平台,并有58%位于美国,其它依次是爱尔兰、德国、澳洲、新加坡与英国。
此外,在这些不安全的管理集群中,有305个没有激活认证机制,意味着黑客将可自由访问,或是借由API与UI执行远程程序攻击。
至于最热门的容器指挥调度系统则是Kubernetes,占了78%,其它依次是Docker Swarm系列(Docker Swarm、Portainer.IO与Swarmpit)、Mesos与Marathon。
Lacework建议容器管理者应先确认其调度系统的外部访问权限,执行多重因素访问验证,采用严格的网络访问控制,特别是UI与API端口,部署SSL及有效的凭证;Lacework也特别对最受欢迎的Kubernetes提供建议,包括让Kubernetes pods只执行只读文件系统,限制Kubernetes中的权限扩张,以及打造pod的安全策略。