Container Security: tante dashboard esposte su internet

0

L’uso dei container è esploso negli ultimi anni, noi stessi abbiamo trattato dell’argomento diverse volte.

Indubbiamente sono comodi: la possibilitá di testare rapidamente software senza preoccuparsi di installare le dipendenze sull’host, come anche la capacità di scalare e/o essere spostati da un sistema (o un OS) all’altro, rendono il deployment rapido e senza pensieri.

Tutta questa rapidità e comodità, però, sta portando molti utenti ad un utilizzo poco responsabile degli stessi; già, perché prima, lavorando direttamente sul proprio sistema, forse si tendeva ad essere più attenti a quello che si andava a fare, ai servizi che si esponevano, alle porte che si aprivano.

La natura di “scatola chiusa” dei container porta, evidentemente, gli utenti meno attenti a pensare di avere tutto sotto controllo, ma è giusto tenere sempre a mente che i container non sono altro che processi in esecuzione sul proprio sistema e come tali vanno trattati.

Proprio in questi giorni uno studio effettuato da Lacework, azienda che si occupa di sicurezza sul cloud, ha portato alla luce che più di 21000 sistemi di orchestrazione ed API di container sono pubblicamente esposte su internet.

Certo, seppur “solo” circa 300 di questi siano accessibili senza autenticazione, lasciando totale libertà agli attaccanti di schedulare e lanciare qualsiasi cosa su quei sistemi, la situazione è tutt’altro che rosea; anche perché ben sappiamo che nessun software è esente da bug, ed una vulnerabilità potrebbe sempre essere scoperta e sfruttata.

Come è immaginabile il 75% di queste dashboard sono esposte da Kubernetes, sicuramente l’orchestrator più utilizzato al momento, seguito da Docker Swarm con un 20% (ricordiamo che Swarm è integrato in Docker stesso).

Si ritaglia un piccolo spazio anche RedHat OpenShift, con un modesto 1%; seppur OpenShift sotto il cofano abbia comunque Kubernetes, l’avere questo sistema esposto porta ad esporre non solo il sistema di esecuzione dei container, ma tutto il processo di creazione, il registry, e tutte le eventuali chiavi di sicurezza caricate nel sistema.

Quindi, se volete utilizzare i container fate pure, sono obbiettivamente molto comodi, ma ricordate bene a cosa andate in contro. A volte basta un nmap per stare più tranquilli.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.