Verlust von Schlüsseln und TokensWarnung vor fehlkonfigurierten und offengelegten Container-Services
12. Juni 2019Scheinbar einfache Fehlkonfigurationen innerhalb von Cloud-Services können zu schwerwiegenden Auswirkungen führen. Ein Beispiel ist der Verlust von Schlüsseln und Tokens für 190.000 Konten durch den Docker Hub. Dies war das Ergebnis eines klassischen Cyber-Angriffs, bei dem die Akteure schwache Sicherheitskonfigurationen des Schlüssel- und Token-Speichers innerhalb einer Cloud-Umgebung ausnutzten. Der Leak von über 13 Millionen Benutzerdatensätzen bei Ladders ist ein perfektes Beispiel für eine grundlegende Container-Fehlkonfiguration mit gravierenden Folgen. Die Lehren daraus sollten alle Unternehmen ziehen, die Container-Dienste nutzen. Dies bedeutet vor allem, die Sicherheitskonfiguration an erste Stelle zu setzen.
Unit 42, das Forschungsteam von Palo Alto Networks, untersuchte sowohl die Standardkonfigurationspraktiken innerhalb von Container-Plattformen in der Public Cloud als auch die Offenlegung von Informationen, die in diesen Containern gefunden wurden. Unit 42 fasste die Ergebnisse im aktuellen Bericht „Misconfigured and Exposed: Container Services“ zusammen.
Dieser liefert Einblicke in falsch konfigurierte Container, Methoden zur Identifizierung von Diensten, die der Öffentlichkeit zugänglich sind, und Abhilfemaßnahmen zum Schutz von Container-Diensten. Diese Informationen sind für Unternehmen von Vorteil, damit sie nicht Opfer ähnlicher Methoden des Datenraubs werden, die auf ihre Container-Plattform-Infrastruktur abzielen.
Unit 42 schlägt die folgenden Schritte vor, um die Sicherheit von Container-Plattformen insgesamt zu verbessern:
- Investieren Sie in Cloud-Sicherheitsplattformen oder Managed Services, die sich auf Containersicherheitsstrategien konzentrieren.
- Beschränken Sie den Zugriff auf Dienste, die auf Containern für interne Netzwerke gehostet werden, oder auf vorher benannte Mitarbeiter durch Firewall-Kontrollen oder Netzwerkrichtlinien für Container-Plattformen. Tipps für den sicheren Zugriff auf Container sind „Docker – iptable-Konfiguration“ und „Kubernetes – Netzwerkrichtlinien“.
- Legen Sie grundlegende Authentifizierungsanforderungen für Ihre Container fest. Dabei gibt es mit „Docker – Tokens“ und „Kubernetes – Authentifizierung“ hilfreiche Anweisungen, wie sich eine grundlegende Authentifizierungspraxis für Docker oder Kubernetes einrichten lässt.
- Identifizieren Sie die Art der in jedem Container gespeicherten oder verwalteten Daten und verwenden Sie die geeigneten Sicherheitsverfahren, um diese Datentypen sicher zu halten. Die Compliance-Richtlinien Ihres Unternehmens helfen Ihnen, die erforderlichen Schutzmaßnahmen festzulegen.
- Isolieren Sie die Dienste zu ihren eigenen Containern. Hosten Sie nicht mehr als einen Dienst auf einem einzelnen Container. Dies wird die Ressourceneffizienz des Containers selbst verbessern und zur Umsetzung effektiver Sicherheitsrichtlinien beitragen.
Suche nach Standardkonfigurationen
Die Forscher von Unit 42 demonstrierten die einfache Handhabung bei der Suche nach Standardkonfigurationen und zeigten auf, wie ein potenzieller Angreifer ein Open-Source-Tool wie Shodan nutzen kann. Dies stellt ein erhebliches Sicherheitsrisiko dar. Fehlkonfigurationen, wie z.B. die Verwendung von Standard-Container-Namen und das Zurücklassen von Standard-Service-Ports machen die Umgebung anfällig für Auskundschaftung.
Die Verwendung der richtigen Netzwerkrichtlinien oder Firewalls kann verhindern, dass interne Ressourcen über das Internet öffentlich zugänglich werden. Darüber hinaus können Unternehmen durch Cloud-Sicherheitstools auf Risiken innerhalb ihrer aktuellen Cloud-Infrastruktur aufmerksam gemacht werden. Angesichts von Data-Leak-Vorfällen wie bei Ladders oder dem Verlust von Schlüsseln und Token durch den Docker Hub sind die Risiken für Unternehmen, die in der Cloud arbeiten, offensichtlich erheblich. (rhh)