Palo Alto Networks Unit42 安全团队警告:简单的错误配置可造成企业应用及数据库暴露。
本不应公开的个人信息数据库随着4万多个Kubernetes和Docker容器暴露在大众眼前。
Unit42威胁情报团队利用Shodan搜索引擎查找可识别容器后发出了这一警报。
Unit42团队表示,可以用简单的搜索语句就轻易找到了分布全球的20,353个Kubernetes容器。这些容器实例位于美国、爱尔兰、德国、新加坡和澳大利亚,且大部分都托管在亚马逊上。
我们还轻易找到了23,354个Docker容器,分布在中国、美国、德国、香港和法国。不过,虽然这些Docker容器还是主要托管在亚马逊上,但其托管服务提供商更多样些。
Unit42做了进一步研究以查明这些容器都开放了哪些服务,然后发现很多站点都公开暴露出了含有个人信息的数据库。
研究人员在数据库识别过程中找出了MySQL、Kibana和Elastic——一系列有个人信息暴露风险的数据库。
其中有一个数据库不仅暴露在互联网上,还没有任何形式的身份验证机制保护其中数据。
对公司企业而言,默认配置往往意味着重大安全风险。使用默认容器名和未关闭默认服务端口之类的错误配置,会将公司暴露在黑客针对性侦察的瞄准镜之中。采用恰当的网络策略或防火墙则可以防止内部资源暴露到公网上。
另外,云安全工具可帮助公司看清当前云基础设施中的安全风险。
Unit42向在云端容器中运行数据库实例的公司企业建议:
1. 购置专注容器安全策略的云安全平台或托管服务;
2. 通过防火墙控制和容器平台网络策略,将对容器上托管服务的访问权限限制在内部网络或事先指定的人员身上。Docker容器在iptable配置中设置,Kubernetes可在网络策略中设置;
- Docker – iptable Configuration;
- Kubernetes – Network Policies.
3. 为容器设立基本的身份验证要求。Docker用令牌(Tokens),Kubernetes用认证(Authenticating);
- Docker – Tokens;
- Kubernetes – Authenticating.
4. 识别每个容器中存储或管理的数据类型,用恰当的安全操作保证这些数据类型安全;
5. 公司的合规策略将辅助确定所需的防护措施;
6. 隔离服务:每个容器只托管一项服务——不仅能改善容器自身的资源效率,还有助于实现有效安全策略。
相关阅读