Sicherheitslücke: Container-Services
12. Juni 2019Fehlkonfigurationen an kritischen Stellen erleichtern den Hackern die Arbeit – diese Aussage trifft auf die meisten Container-Lösungen zu. Generell sollten die Systembetreuer daher die komplette Security-Umgebung von Cloud-Services prüfen, Standard-Ports und Standard-Sicherheitseinstellungen abändern, und die kompletten Security-Einstellungen regelmäßig einer genauen Überprüfung unterziehen.
Einfache Flüchtigkeitsfehler und Fehlkonfigurationen innerhalb von Cloud-Services können schwerwiegenden Auswirkungen haben. Ein Beispiel dafür ist der Verlust von Schlüsseln und Tokens für über 190.000 Konten auf dem Docker Hub. Dies war das traurige Ergebnis eines Cyber-Angriffs, bei dem die Akteure schwache Sicherheitskonfigurationen der Schlüssel- und Token-Speichers einer Cloud-Umgebung ausnutzten. Als weiteres Beispiel für eine grundlegende Container-Fehlkonfiguration kann ein Leak von über 13 Millionen Benutzerdatensätzen bei Ladders dienen.
Um nicht selbst ein leichtes Opfer zu werden, sollten die Unternehmen versuchen die Sicherheitskonfiguration im Cloud- und Container-Umfeld an die erste Stelle zu setzen. Dabei lässt sich ein grundliegendes Problem feststellen: Teilweise nutzen Firmen derartige Lösungen mit den Standard-Sicherheitseinstellungen, und passen das Security-Konzept nicht an die eigenen Richtlinien – oder jeweiligen Gegebenheiten – an. Erfordert beispielsweise ein Cloud-Service mit sensiblen Benutzerdaten eine andere Sicherheitseinstellung als ein Container mit belanglosen Testdaten.
Das Unit-42-Forschungsteam von Palo Alto Networks untersuchte in diesem Zusammenhang sowohl die Standardkonfigurationspraktiken innerhalb von Container-Plattformen als auch die Offenlegung von Informationen, die in den betreffenden Containern gefunden wurden. Die Ergebnisse wurden im aktuellen Bericht „Misconfigured and Exposed: Container Services“ zusammengefasst. Der Bericht liefert Einblicke in falsch konfigurierte Container, Methoden zur Identifizierung von der Öffentlichkeit zugänglichen Diensten und Abhilfemaßnahmen zum Schutz von Container-Services.
Schritte zur Risikominderung
Unit 42 schlägt die folgenden Schritte vor, um die Sicherheit von Containerplattformen insgesamt zu verbessern:
- Unternehmen sollten in entsprechende Cloud-Sicherheitsplattformen oder Managed Services investieren, und sich auf Container-Sicherheitsstrategien konzentrieren.
- Der Zugriff auf Dienste, die auf Containern für interne Netzwerke gehostet werden, sollte nur für bestimmte Mitarbeiter freigegeben werden. Gegebenenfalls werden entsprechende Firewall-Barrieren und Netzwerksicherheits-Richtlinien für die betroffenen Containerplattformen benötigt. Die folgenden Links können den sicheren Zugriff auf Docker-Container pder Kubernetes-Container realisieren.
- Auch müssen grundlegende Authentifizierungsanforderungen für die vorhandenen Container festgelegt werden. Die folgenden beiden Links enthalten hilfreiche Anweisungen, wie sich eine grundlegende Authentifizierungspraxis sowohl für Docker als auch Kubernetes einrichten lässt.
- Die Systembetreuer identifizieren in jedem Container gespeicherten oder verwalteten Daten und verwenden geeignete Sicherheitsverfahren, um eben diese Datentypen abzusichern. Die Compliance-Richtlinien des Unternehmens dienen dabei als Basis, um die erforderlichen Schutzmaßnahmen festzulegen und zu implementieren.
- Einzelne Dienste werden in einzelnen Containern vorgehalten. Die Systembetreuer achten darauf, nicht mehr als einen Dienst auf einem einzelnen Container zu hosten. Dieses Vorgehen trennt die einzelnen Dienste voneinander, und steigert als Nebeneffekt die „Performance“ der einzelnen Container. Aber besonders die Umsetzung effektiver Sicherheitsrichtlinien wird so vereinfacht.
Neben hoher Sicherheit sollte auch auf eine einfache Handhabung der Sicherheitskonfigurationen geachtet werden. Potenzielle Angreifer nutzen bei der Suche nach verwundbaren Standardkonfigurationen beispielsweise Open-Source-Tools wie „Shodan“. Fehlkonfigurationen, wie etwa die Verwendung von Standard-Container-Namen und freigegebene Standard-Service-Ports machen Umgebungen anfällig. Denn auf diese Weise können die Angreifer im ersten Schritt betroffenen Systeme auskundschaften, und lohnende Ziele identifizieren. Im nächsten Schritt werden dann auf die jeweiligen Parameter zugeschnittenen Angriffe ausgeführt – dank der guten „Feldaufklärung“ oft erfolgreich.
Die Verwendung passender Netzwerkrichtlinien und Firewalls verhindert, dass interne Ressourcen über das Internet quasi für jeden zugänglich werden. Darüber hinaus sollten die Administratoren Cloud-Sicherheits-Tools einsetzen, und die eignenen Systeme und Cloud-Infrastrukturen auf Risiken prüfen. Auch eine externe Firma kann für diesen Fall herangezogen werden, um etwa Penetration-Tests (PenTest) auszuführen. (fah)
Palo Alto Networks