Lacework：全球有2.2萬個容器指揮調度與API管理系統曝露在公開網路上

專門提供雲端安全服務的Lacework本周發表一研究報告，指稱他們在今年6月初於公開網路上發現逾2.2萬個容器指揮調度與API管理系統。

容器與容器指揮調度系統近年來快速崛起，用來管理這些系統的除了網頁介面與相關API之外，還有管理儀表板與API，後者允許使用者於單一介面上執行叢集的各項管理功能，包含管理應用程式與容器、執行任務、新增及修改應用程式，以及設定安全控制等。

Lacework藉由網頁爬梳、Shodan、SSL資料採礦，再加上其它內部工具在網路上找到了22,672個可公開存取的容器管理節點，即便多數的管理介面都有憑證保護，但光是公開，就可能讓駭客取得重要的資訊，進而執行暴力破解或字典攻擊。

分析顯示，這些曝露於網路上的容器指揮調度與API管理系統可能源自於貧乏的配置資源、缺乏憑證，或是採用了不安全的協定，在Lacework所發現的22,672個容器調度平台中，有95%由AWS代管，只有少數是置放於Google Cloud、OVH或其它雲端平台，並有58%位於美國，其它依序是愛爾蘭、德國、澳洲、新加坡與英國。

此外，在這些不安全的管理叢集中，有305個沒有啟用認證機制，意味著駭客將可自由存取，或是藉由API與UI執行遠端程式攻擊。

至於最熱門的容器指揮調度系統則是Kubernetes，佔了78%，其它依序是Docker Swarm系列（Docker Swarm、Portainer.IO與Swarmpit）、Mesos與Marathon。

Lacework建議容器管理者應先確認其調度系統的外部存取權限，執行多重因素存取驗證，採用嚴格的網路存取控制，特別是UI與API埠，部署SSL及有效的憑證；Lacework也特別對最受歡迎的Kubernetes提供建議，包括讓Kubernetes pods只執行唯讀檔案系統，限制Kubernetes中的權限擴張，以及打造pod的安全政策。