Microsoft указывает, что применение стандартных шаблонов, таких как Helm-чарты, при развертывании Kubernetes может привести к неправильным настройкам и риску утечки важной информации.
“Хотя подобные решения формата 'подключи и работай' значительно упрощают процесс установки, зачастую они ставят удобство использования выше безопасности”, - отметили Майкл Качинский и Йосси Вейцман из команды Microsoft Defender for Cloud Research.
“В результате многие приложения разворачиваются с некорректными настройками по умолчанию, что открывает доступ к конфиденциальным данным, облачным ресурсам или даже всей инфраструктуре для злоумышленников.”
Helm - это менеджер пакетов для Kubernetes, который позволяет разработчикам упаковывать, настраивать и развертывать приложения и сервисы на кластерах Kubernetes. Этот инструмент является частью Фонда Облачных Нативных Вычислений (CNCF).
Пакеты приложений Kubernetes структурированы в формате Helm, известном как чарты, представляющие собой YAML-манифесты и шаблоны, используемые для описания необходимых ресурсов и конфигураций для развертывания приложения.
Microsoft подчеркнула, что открытые проекты часто содержат стандартные манифесты или предустановленные Helm-чарты, которые акцентируют внимание на удобстве использования, что приводит к двум ключевым проблемам -
Выход сервисов на внешний доступ без должных сетевых ограничений
Недостаточная встроенная аутентификация или авторизация по умолчанию
Таким образом, организации, использующие эти проекты, не проверяя YAML-манифесты и Helm-чарты, рискуют подвергнуть свои приложения атакам. Это может иметь серьезные последствия, особенно если развернутое приложение позволяет выполнять запросы к конфиденциальным API или предоставляет администраторские функции.
Некоторые проекты, которые могут ставить Kubernetes-окружение под угрозу атак, включают -
- Apache Pinot, который открывает основные компоненты OLAP-хранилища, pinot-controller и pinot-broker, для доступа в интернет через сервисы Kubernetes LoadBalancer без какой-либо аутентификации по умолчанию
- Meshery, который открывает интерфейс приложения через внешний IP-адрес, позволяя любому с доступом к этому IP-адресу зарегистрироваться как новый пользователь, получить доступ к интерфейсу и развернуть новые поды, что может привести к выполнению произвольного кода
- Selenium Grid, который открывает NodePort-сервис на определенном порту на всех узлах в кластере Kubernetes, при этом внешние правила брандмауэра являются единственной линией защиты
Чтобы минимизировать риски, связанные с неправильными настройками, рекомендуется проверять и изменять их в соответствии с рекомендациями по безопасности, периодически сканировать открытые интерфейсы и отслеживать запущенные контейнеры на предмет вредоносных и подозрительных действий.
“Многие атаки на контейнерные приложения происходят из-за неверно настроенных рабочих нагрузок, особенно когда используются настройки по умолчанию”, - отметили исследователи. “Полагаться на 'удобные по умолчанию' настройки представляет собой серьезный риск для безопасности.”
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
