Comment la stabilité de Kubernetes a-t-elle progressé ces dernières années ?
Publié: 2022-01-20
Comment la sécurité de Kubernetes s'est-elle développée au cours des nouvelles décennies ?
Il y a eu un développement sans précédent dans l'adoption de Kubernetes, avec près de 70 % des entreprises qui ont élargi leur utilisation en conséquence directe de la pandémie. Il en résulte que la sécurité de l'organisation est remise en question comme jamais auparavant, ce qui augmente la complexité et les angles morts.
Les groupes de protection n'ont vraiment pas de visibilité sur chaque projet Kubernetes individuel, ce qui rend pratiquement impossible de les sécuriser tous à la vitesse à laquelle les développeurs travaillent.
Ce n'est pas seulement la réputation croissante de Kubernetes qui crée une difficulté. La nature dynamique de l'architecture cloud native est également une situation. En fait, 61 % des entreprises déclarent que leurs environnements cloud changent chaque minute ou moins, et près d'un tiers déclarent s'adapter au moins à la fois par seconde. Toute cette transformation entraîne une augmentation exponentielle de la variété de nouveaux appareils et des identités d'appareils correspondantes - qu'il s'agisse de microservices, de conteneurs ou de machines numériques. Les identités d'équipement sont les certificats et les clés que les systèmes utilisent pour communiquer entre eux de manière cryptée, en gardant les données sans risque et protégées.
Bien que la plupart de ces applications soient mises en mouvement en quelques secondes, elles ont néanmoins besoin d'un identifiant, qui doit être géré tout au long de son cycle de vie. C'est là que ça devient difficile. Les entreprises ont désormais des difficultés à émettre et à gérer toutes ces identités au rythme et à l'échelle requis pour la procédure efficace des entreprises du cloud. Cela crée néanmoins des pièges de sécurité supplémentaires et des pannes d'applications en raison de la mauvaise gestion des identités des machines. Cela signifie également généralement qu'il reste de nombreuses identités de machines orphelines sur les réseaux, qui présentent toutes un risque de sécurité inhérent.
Y a-t-il plus d'attaques qu'auparavant, ou observons-nous simplement plus précisément le ciblage de Kubernetes ?
Avec beaucoup plus d'entreprises appliquant Kubernetes que jamais auparavant, cela amène les pirates à le voir sous un nouveau poids léger. Ainsi, ce n'est pas seulement que nous assistons à plus d'agressions qu'auparavant, c'est que les cybercriminels repèrent de nouvelles alternatives au gain financier. Au cours des derniers mois, nous avons vu le gang de cybercriminels Staff TNT tirer parti de clusters Kubernetes mal configurés. Après avoir obtenu sa première entrée, leur logiciel malveillant, surnommé Hildegard, a été équipé pour accéder à un plus grand nombre de conteneurs en utilisant des clés SSH non sécurisées et d'autres identités de machine juste avant de déployer un cryptomineur.
Une autre attaque a remarqué des personnes Azure malveillantes capables de contourner les événements cloud d'autres utilisateurs dans le cadre de la fourniture de conteneurs en tant qu'assistance de Microsoft. Cette infiltration « Azurescape » est une illustration différente de la façon dont les attaquants peuvent utiliser Kubernetes pour voler des informations délicates, permettre l'extraction de crypto ou exécuter du code dangereux. Bien que les développeurs de cloud aient une bonne compréhension de Kubernetes, il leur est physiquement impossible d'être en mesure de mettre en œuvre des contrôles de stabilité robustes pour chaque événement cloud individuel. Les hackers en sont informés et en font très bon usage en faisant évoluer leurs techniques et leurs procédures d'attaque. C'est ce que l'on voit des personnes comme Funds A et Docker subir des violations très médiatisées.
À mesure que Kubernetes gagne en popularité, nous nous attendons à voir la variété des attaques augmenter. À moins bien sûr que les entreprises ne commencent à jouer un rôle plus actif dans la défense de leurs environnements Kubernetes.
Quelles sont les erreurs fréquentes que les entreprises génèrent dans leurs déploiements Kubernetes ?
La facilité d'utilisation et les procédures de base essentielles pour déployer Kubernetes sont l'un de ses nombreux avantages. Cela dit, cela provoque également l'une des erreurs les plus courantes créées par les entreprises. Un bon nombre d'entre eux s'appuient fortement sur les options par défaut de Kubernetes, qui permettent de déployer rapidement de nouvelles applications, même si ces options ne sont pas protégées par nature. Par exemple, les directives du réseau impliquent que toutes les applications peuvent communiquer entre elles sans aucune contrainte. Pendant ce temps, les fins peuvent également utiliser n'importe quelle image de conteneur, une variété de fichiers statiques avec du code exécutable, qu'ils proviennent ou non de sources non fiables. Cette dépendance excessive ouvre les entreprises à toute une série de vulnérabilités que les cybercriminels utilisent de manière significative.
La mauvaise configuration et la mauvaise gestion des identités des appareils constituent une autre erreur populaire que les entreprises construisent lorsqu'elles arrivent sur Kubernetes. C'est une perspective effrayante, étant donné que ces identités expirent après un court laps de temps et sont essentielles pour protéger les faits en transit entre les objectifs. Si ceux-ci sont mal configurés ou oubliés, il est alors possible pour les pirates de voler ou de falsifier ces identités et de les utiliser pour mener des attaques. Non seulement cela pourrait entraîner l'échec de charges de travail importantes, mais des informations et des faits délicats pourraient être égarés, et un contrôle encore plus grand peut être offert à un attaquant essayant de trouver juste au-dessus d'un réseau complet.
C'est stressant quand on pense qu'une explosion des identités de machines couplée au caractère dynamique du cloud suggère que la gestion des guides n'est tout simplement pas réalisable. Dans le même temps, l'amélioration constante de nouvelles identités suggère que des failles de sécurité s'ouvrent régulièrement à mesure que les constructeurs construisent de plus en plus de programmes supplémentaires sans utiliser la gestion de la qualité pour les tester par rapport aux attentes en matière de protection.
De plus, les organisations ne parviennent pas à rendre compte de leur propre stabilité. Ils devront mieux se conformer à l'exercice de sécurité le plus efficace et adopter une société DevSecOps dans laquelle la sécurité est un idéal prioritaire dès le départ. C'est un échec à le faire qui amène les entreprises à avoir des ennuis. Avec un besoin croissant de fournisseurs numériques, les constructeurs se concentrent constamment sur la construction et l'innovation pour accélérer le délai de mise en secteur. Au lieu de cela, ils doivent mieux s'aligner sur les groupes de sécurité sur leurs déploiements Kubernetes pour s'assurer qu'ils continuent d'être protégés et surveillés pour toute difficulté qui pourrait éventuellement survenir.
Quelles mesures les entreprises peuvent-elles prendre de manière proactive pour conserver leur infrastructure Kubernetes à l'abri des attaquants ?
L'enquête de Canonical montre que bien plus d'une personne dans deux entreprises est confrontée à un manque de capacités Kubernetes internes. La première action que les organisations peuvent simplement prendre pour gérer ce manque croissant de compétences est de participer avec des experts pour éduquer et perfectionner les membres du personnel sur la façon de prendre soin de l'infrastructure Kubernetes. Dans le même temps, les entreprises devront accélérer la maturité de leur cloud pour s'assurer qu'elles sont conscientes de tous les défis et des moyens d'atténuation des menaces. Même si les équipes de développement sont enthousiasmées par l'équipement à leur disposition et sont occupées à créer des applications natives du cloud à un rythme soutenu, les groupes de sécurité se battent toujours pour se maintenir.
Néanmoins, accroître la maturité du cloud n'est pas une tâche simple. Les technologies natives du cloud sont nouvelles et la plupart des organisations en ont une connaissance et une expérience limitées. C'est pourquoi il est très important que les entreprises travaillent avec des partenaires capables de fournir les capacités, les processus et l'équipement nécessaires pour favoriser un développement cloud natif rapide et protégé.
Les entreprises doivent également adopter des systèmes d'automatisation. Cela consiste à automatiser l'émission, la configuration et la gestion des identités des machines, afin que les développeurs puissent déployer de nouvelles applications sans avoir à se soucier de la sécurité ou de l'intégrité de l'infrastructure sur laquelle ils se déploient.
L'automatisation garantira que la tension est évacuée des employés surchargés. À sa place, ils peuvent concentrer leur temps et leur énergie sur la conduite d'avantages pour l'entreprise. Cela assurera une certaine visibilité en temps réel, le respect des critères de sécurité et la capacité de réagir aux risques de protection en temps réel.
Dans quelle fonction zéro croit-il participer à la défense continue de Kubernetes ?
Le zéro recours va avoir une position de plus en plus importante pour participer à la sécurité continue de Kubernetes. Avec autant de situations et de charges de travail commerciales en augmentation, il devient impossible de gérer toutes ces identités d'équipement et d'être en mesure de valider chaque logiciel et chaque personne dans le processus. Cela est particulièrement vrai lorsque certains conteneurs seront tournés de haut en bas en quelques secondes.
Par conséquent, une technique de croyance zéro doit être exécutée selon laquelle il est supposé que chaque application veut être vérifiée et authentifiée tout le temps.
Pour que cela fonctionne dans les environnements indigènes du cloud, la confiance doit être renforcée au niveau de la charge de travail, les identités des machines acquérant une position fondamentale. L'automatisation sera essentielle pour prendre en charge ces identités avec une tactique de zéro recours à un prix qui suivra le développement moderne et l'échelle souhaitée à des fins d'organisation de masse.
Chintan Bellchambers, gestionnaire d'articles, Jetstack