Kubernetes, konteynerli uygulamaların dağıtımını, ölçeklendirilmesini ve yönetimini otomatikleştiren açık kaynaklı bir konteyner düzenleme platformudur.
Bunun yanı sıra, bilgisayar korsanları yaygın olarak benimsenmesi nedeniyle sıklıkla Kubernetes’i hedef alıyor ve bu da Kubernet’i dağıtılmış sistemlerin güvenliğini aşmak ve kontrol etmek için değerli bir saldırı vektörü haline getiriyor.
Kubernetes yapılandırmalarındaki güvenlik açıkları aşağıdakilere yol açabilir:-
- Yetkisiz Erişim
- Veri ihlalleri
- Kritik hizmetlerin kesintiye uğraması
Aqua Nautilus’taki siber güvenlik araştırmacıları yakın zamanda birçok kuruluşta açığa çıkan Kubernetes sırlarını keşfetti ve hassas SDLC ortamlarına erişim sağlayarak ciddi bir tedarik zinciri saldırısı tehdidi oluşturdu.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Teknik Analiz
SAP’nin sisteminde 95 milyon eser vardı ve sadece bu da değil, en iyi blockchain firmaları ve Fortune 500’ler bile oradaydı.
Kubernetes.io’nun bir Sırlar yapılandırma bölümü vardır ve varsayılan olarak bunları şifrelenmemiş biçimde etcd’de (API sunucusunun temel veri deposu) saklar.
Sekiz Gizli tür vardır ve güvenlik analistleri şunlara odaklanır: –
- dockercfg
- dockerconfigjson
Bu senaryoda temel kimlik doğrulama, tls ve ssh-auth küme ayrıntılarına ihtiyaç duyduğundan kullanım potansiyeli değişiklik gösterir. Bu arada, dahili istismarlar için hizmet hesabı jetonu kritik derecede değerlidir.
Sekiz yerleşik Sır türü: –
- Opak
- kubernetes.io/service-account-token
- kubernetes.io/dockercfg
- kubernetes.io/dockerconfigjson
- kubernetes.io/basic-auth
- kubernetes.io/ssh-auth
- kubernetes.io/tls
- bootstrap.kubernetes.io/token
Güvenlik analistleri, yinelemeli bir arama yardımıyla 1000 sınırını aşmak için GitHub API’yi kullandı. Bunun yanı sıra karmaşık regex, dockercfg/dockerconfigjson ve base64 kodlu sırlara sahip YAML dosyalarını hedefler.
Analistler tarafından halka açık arşivlerde bulunan yüzlerce vaka, aşağıdaki kuruluşları etkileyen sorunun ciddiyetini ortaya koyuyor: –
- Bireyler
- Açık kaynaklı projeler
- Büyük organizasyonlar
Araştırmacılar .dockerconfigjson ve .dockercfg içeren 8.000 GitHub girişi buldu. Aramayı base64 ile kodlanmış kullanıcı ve şifre değerlerine göre hassaslaştırdıktan sonra potansiyel kimlik bilgilerine sahip 438 kayıt belirlendi.
Yaklaşık %46’sının (203 kayıt) geçerli kimlik bilgileri vardı ve bu, çekme ve itme için kayıtlara erişim sağlıyordu. Birçok kayıt defteri özel kapsayıcı görüntüleri içeriyordu.
Paydaşlara açığa çıkan sırları ele almaları konusunda bilgi verildi. Kubernetes’teki dockerconfigjson alanı, Docker kayıt defteri erişim kimlik bilgilerini saklayarak şunları sağlar: –
Açığa çıkan kayıtlar
Kullanım örnekleri
Analistler, geçerli kimlik bilgilerine sahip 203 kaydı analiz ederken, aşağıdakilere odaklanarak kayıtların kuruluşlara veya açık kaynak projelere açık hale gelmesi risklerini vurgulayan vakaları ortaya çıkardı: –
Aşağıda tüm kullanım durumlarından bahsettik: –
- Kullanım Örneği #1: SAP SE yapıtları deposu
- Kullanım Örneği #2: Blockchain şirketleri
- Kullanım Örneği #3: Docker Hub hesapları
Azaltmalar
Aşağıda, sağlanan tüm azaltımlardan bahsettik: –
- Hassas bilgiler içeren GitHub dosyalarından kaldırın.
- Bir Sır Yönetim Aracı kullanın.
- Ortam Değişkenlerini kullanın.
- Kullanımda Olmayan Verileri Şifreleyin.
- Sırları Denetleyin ve Döndürün.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.