Sicherheitsstrategien

Tipps zur Verbesserung der Sicherheit von Container-Plattformen

11.06.2019, München, Palo Alto Networks | Autor: Herbert Wieler

Palo Alto Networks warnt vor fehlkonfigurierten und offengelegten Container-Services

Es gibt mehr als 40.000 verschiedene Container-Hosting-Geräte mit Standard-Container-Konfigurationen, die eine schnelle Identifizierung ermöglichen. Sowohl Kubernetes als auch Docker bieten Containerplattformen mit jeweils über 20.000 einzigartigen Instanzen. Dies bedeutet nicht unbedingt, dass jede dieser mehr als 40.000 Plattformen anfällig für Exploits oder sogar den Verlust sensibler Daten ist. Palo Alto Networks weist darauf hin, dass offensichtlich grundlegende Fehlkonfigurationspraktiken existieren und Unternehmen zu Zielen für dadurch begünstigte Angriffe machen können.

Scheinbar einfache Fehlkonfigurationen innerhalb von Cloud-Services können zu schwerwiegenden Auswirkungen führen. Ein Beispiel ist der Verlust von Schlüsseln und Tokens für 190.000 Konten durch den Docker Hub. Dies war das Ergebnis eines klassischen Cyberangriffs, bei dem die Akteure schwache Sicherheitskonfigurationen des Schlüssel- und Token-Speichers innerhalb einer Cloud-Umgebung ausnutzten. Der Leak von über 13 Millionen Benutzerdatensätzen bei Ladders ist ein perfektes Beispiel für eine grundlegende Container-Fehlkonfiguration mit gravierenden Folgen. Die Lehren daraus sollten alle Unternehmen ziehen, die Containerdienste nutzen. Dies bedeutet vor allem, die Sicherheitskonfiguration an erste Stelle zu setzen.

Unit 42, das Forschungsteam von Palo Alto Networks, untersuchte sowohl die Standardkonfigurationspraktiken innerhalb von Container-Plattformen in der Public Cloud als auch die Offenlegung von Informationen, die in diesen Containern gefunden wurden. Unit 42 fasste die Ergebnisse im aktuellen Bericht „Misconfigured and Exposed: Container Services “ zusammen. Dieser liefert Einblicke in falsch konfigurierte Container, Methoden zur Identifizierung von Diensten, die der Öffentlichkeit zugänglich sind, und Abhilfemaßnahmen zum Schutz von Containerdiensten. Diese Informationen sind für Unternehmen von Vorteil, damit sie nicht Opfer ähnlicher Methoden des Datenraubs werden, die auf ihre Containerplattform-Infrastruktur abzielen.

Wichtige Schritte zur Risikominderung

Unit 42 schlägt die folgenden Schritte vor, um die Sicherheit von Containerplattformen insgesamt zu verbessern:

• Investieren Sie in Cloud-Sicherheitsplattformen oder Managed Services, die sich auf Containersicherheitsstrategien konzentrieren.
• Beschränken Sie den Zugriff auf Dienste, die auf Containern für interne Netzwerke gehostet werden, oder auf vorher benannte Mitarbeiter durch Firewall-Kontrollen oder Netzwerkrichtlinien für Containerplattformen. Die folgenden Links können den sicheren Zugriff auf Container erleichtern:
  • Docker – iptable-Konfiguration
  • Kubernetes – Netzwerkrichtlinien
• Legen Sie grundlegende Authentifizierungsanforderungen für Ihre Container fest. Die folgenden beiden Links enthalten hilfreiche Anweisungen, wie Sie eine grundlegende Authentifizierungspraxis für Docker oder Kubernetes einrichten können:
  • Docker – Tokens
  • Kubernetes – Authentifizierung
• Identifizieren Sie die Art der in jedem Container gespeicherten oder verwalteten Daten und verwenden Sie die geeigneten Sicherheitsverfahren, um diese Datentypen sicher zu halten.
  • Die Compliance-Richtlinien Ihres Unternehmens helfen Ihnen, die erforderlichen Schutzmaßnahmen festzulegen.
• Isolieren Sie die Dienste zu ihren eigenen Containern. Hosten Sie nicht mehr als einen Dienst auf einem einzelnen Container. Dies wird die Ressourceneffizienz des Containers selbst verbessern und zur Umsetzung effektiver Sicherheitsrichtlinien beitragen.

Fazit

Die Forscher von Unit 42 demonstrierten die einfache Handhabung bei der Suche nach Standardkonfigurationen und zeigten auf, wie ein potenzieller Angreifer ein Open-Source-Tool wie Shodan nutzen kann. Dies stellt ein erhebliches Sicherheitsrisiko dar. Fehlkonfigurationen, wie z.B. die Verwendung von Standard-Containernamen und das Zurücklassen von Standard-Service-Ports machen die Umgebung anfällig für Auskundschaftung. Die Verwendung der richtigen Netzwerkrichtlinien oder Firewalls kann verhindern, dass interne Ressourcen über das Internet öffentlich zugänglich werden. Darüber hinaus können Unternehmen durch Cloud-Sicherheitstools auf Risiken innerhalb ihrer aktuellen Cloud-Infrastruktur aufmerksam gemacht werden. Angesichts von Data-Leak-Vorfällen wie bei Ladders oder dem Verlust von Schlüsseln und Token durch den Docker Hub sind die Risiken für Unternehmen, die in der Cloud arbeiten, offensichtlich nicht unerheblich.