tostphoto - stock.adobe.com
Plattformen zur Verwaltung von Containern sind gefährdet
Viele Plattformen zur Orchestrierung von Containern sind von außen erreichbar. Dadurch entstehen unnötige Risiken, die sich mit den richtigen Maßnahmen leicht vermeiden lassen.
In der ersten Hälfte des Jahres 2018 meldete der Cyber-Security-Anbieter Lacework, dass seine Mitarbeiter mehr als 21.000 frei über das Internet erreichbare Systeme zur Verwaltung beziehungsweise Orchestrierung von Containern gefunden haben. Mehrere Hundert dieser Systeme waren sogar komplett ohne vorherige Eingabe von Zugangsdaten für Jedermann frei zugänglich.
Auch wenn der Großteil der gefundenen Plattformen zur Orchestrierung von Containern also zumindest einen gewissen Grad an Schutzmaßnahmen aufweist, betonte Lacework jedoch außerdem, dass allein schon die Zugänglichkeit über das allgemeine Internet ein signifikantes Sicherheitsrisiko darstellt. Systeme auf Basis von Kubernetes, Docker Swarm, Mesosphere, OpenShift und viele andere Arten von Container-Plattformen wurden entdeckt. Das bedeutet, dass sowohl zahlreiche Entwickler als auch die für den Betrieb der Systeme verantwortlichen Admins einige der wesentlichsten Sicherheitspraktiken in der IT nicht beachten oder gar nicht kennen.
Risiken durch den Betrieb einer Plattform zur Verwaltung von Containern
Die meisten Plattformen zur Orchestrierung von Containern verfügen über mehrere Interfaces zu ihrer Steuerung und Bedienung. Manche von ihnen dienen zum Zugriff via Programmierschnittstellen (APIs, Application Programming Interface), andere sind traditioneller wie etwa webbasierte Admin- oder Deployment-Konsolen. Es muss unbedingt vermieden werden, dass sie in die falschen Hände fallen.
Zunächst besteht immer die Gefahr, dass durch nicht autorisierte Zugriffe auf sie, sensible Daten publik werden. So können die zur Orchestrierung von Containern genutzten APIs Informationen über die Infrastruktur enthalten, Daten über den genutzten Quellcode und die Repositories, über die zum Erstellen der Container verwendeten Konfigurationen und vieles mehr. Wenn diese APIs direkt über das Internet zugänglich sind, öffnen sie dadurch Hackern möglicherweise Tür und Tor zu weiteren Systemen im Firmennetz.
Darüber hinaus können die administrativen Interfaces durch einen Angreifer dazu genutzt werden, ein breites Spektrum an weiteren böswilligen Aktionen durchzuführen. Zum Beispiel könnte er Zugangsdaten und Schlüssel entwenden, die in diesen Systemen gespeichert oder die durch sie zugänglich sind. Außerdem ist es denkbar, dass jemand Konfigurationen heimlich verändert oder Backdoors einschleust, dass legitime Nutzer und Admins keinen Zugriff mehr auf bestimmte Ressourcen haben oder auch, dass Angreifer unbemerkt neue Container aufsetzen, um damit zum Beispiel nach Krypto-Währungen zu schürfen, um Passwörter zu knacken oder um Spam zu versenden.
Warum müssen diese Systeme überhaupt mit dem Internet verbunden sein?
Eigentlich gibt es keinen guten Grund, warum eine dieser Plattformen mit dem Internet verbunden sein müsste. Die einzigen Ursachen, warum sie trotzdem von außen zugänglich sind, sind entweder schlicht Unachtsamkeit oder wenn die Entwickler und Admins keine zusätzlichen Schritte vornehmen wollen, um auf ihre Produktionsarchitektur sicher aus der Ferne zuzugreifen.
Kritische Systeme in einem Unternehmen, die erweiterte Möglichkeiten bieten, um zum Beispiel neue Container aufzusetzen und auszuspielen, sollten jedoch niemals ohne zusätzliche Zugriffskontrollen über das Internet verfügbar sein. Die meisten IT-Sicherheitsprofis werden zu einem zusätzlichen Proxy oder Bastion Host greifen, der als zusätzliche Sicherheitsmaßnahme vorgeschaltet wird, um zumindest ein Minimum an Schutz gewährleisten zu können. Diese Maschine wird dann in der Regel mit zusätzlichen Sicherheitsmaßnahmen ausgestattet, so dass sie zum Beispiel nur Zugriffe per SSH mit schlüsselbasierter Authentifizierung erlaubt. Von diesen Systemen aus können sich die Admins dann an den Plattformen zur Verwaltung der Container anmelden.
Zusätzlich zu einem solchen so genannten Jump Host, müssen solide und bewährte Zugriffskontrollen implementiert werden. Dazu gehören der bereits erwähnte schlüsselbasierte SSH-Zugriff, Multifaktor-Authentifizierung mit Hilfe von Zertifikaten sowie Tokens und starke Passwörter. Die großen Orchestrierungsplattformen unterstützen zudem in der Regel rollenbasierte Zugriffe, so dass sich damit auch das Prinzip der geringsten benötigten Rechte umsetzen lässt.
Wenn es jedoch doch einen überzeugenden Grund gibt, eines dieser Systeme ohne den zusätzlichen Schutz durch einen Jump Host direkt mit dem Internet zu verbinden, dann müssen zumindest die sichersten verfügbaren Zugriffskontrollen umgesetzt werden. Dazu gehören als absolutes Minimum Multifaktor-Authentifizierung sowie starke Passwörter. Ein weiterer bewährter Schutz sind IP-basierte Zugriffskontrollen, die auch in Verbindung mit einem Bastion Host genutzt werden können. Sie regeln, von welchen IP-Adressen aus überhaupt auf das jeweilige System zugegriffen werden darf.
Weil sich die Nutzung der Automatisierungs- und Orchestrierungssysteme auf Container-Basis zunehmend verbreitet, wird es auch immer wichtiger, die Zugriffe auf sie streng zu kontrollieren. Zusätzlich zu einer sicheren Konfiguration und einem eng begrenzten Zugriffsmodell sollten alle diese Systeme Remote Logging aktiviert haben, so dass die IT-Sicherheitsteams jegliche Aktivitäten auf ihnen sorgfältig überwachen können.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!