Microsoft telah memperingatkan bahwa menggunakan templat pra-buatan, seperti grafik helm di luar kotak, selama penyebaran Kubernetes dapat membuka pintu bagi kesalahan konfigurasi dan membocorkan data yang berharga.
“Sementara opsi 'plug-and-play' ini sangat menyederhanakan proses pengaturan, mereka sering memprioritaskan kemudahan penggunaan daripada keamanan,” kata Michael Katchinskiy dan Yossi Weizman dari Bek Microsoft untuk Tim Penelitian Cloud.
“Akibatnya, sejumlah besar aplikasi akhirnya digunakan dalam keadaan yang salah konfigurasi secara default, mengekspos data sensitif, sumber daya cloud, atau bahkan seluruh lingkungan untuk penyerang.”
Helm adalah manajer paket untuk Kubernetes yang memungkinkan pengembang untuk mengemas, mengkonfigurasi, dan menggunakan aplikasi dan layanan ke kluster Kubernetes. Ini bagian dari Cloud Native Computing Foundation (CNCF).
Paket aplikasi Kubernetes disusun dalam format kemasan helm yang disebut grafik, yang merupakan manifes dan templat YAML yang digunakan untuk menggambarkan sumber daya dan konfigurasi Kubernetes yang diperlukan untuk menggunakan aplikasi tersebut.
Microsoft menunjukkan bahwa proyek open-source sering menyertakan manifes default atau grafik helm yang telah ditentukan sebelumnya yang memprioritaskan kemudahan penggunaan daripada keamanan, terutama yang mengarah pada dua masalah utama-
- Mengekspos layanan secara eksternal tanpa batasan jaringan yang tepat
- Kurangnya otentikasi atau otorisasi bawaan yang memadai secara default
Akibatnya, organisasi yang menggunakan proyek -proyek ini tanpa meninjau manifes YAML dan grafik helm dapat berakhir secara tidak sengaja mengekspos aplikasi mereka kepada penyerang. Ini dapat memiliki konsekuensi serius ketika aplikasi yang digunakan memfasilitasi permintaan API yang sensitif atau memungkinkan tindakan administrasi.
Beberapa proyek yang diidentifikasi yang dapat menempatkan lingkungan Kubernetes pada risiko serangan adalah sebagai berikut –
- Apache Pinot, yang memperlihatkan komponen utama OLAP Datastore, Pinot-Controller dan Pinot-Broker, ke Internet melalui Layanan LoadBalancer Kubernetes tanpa otentikasi apa pun secara default
- Meshery, yang memperlihatkan antarmuka aplikasi melalui alamat IP eksternal, sehingga memungkinkan siapa pun dengan akses ke alamat IP untuk mendaftar dengan pengguna baru, mendapatkan akses ke antarmuka, dan menggunakan pod baru, yang pada akhirnya menghasilkan eksekusi kode sewenang -wenang
- Selenium Grid, yang memperlihatkan layanan nodeport pada port tertentu di semua node di kluster Kubernetes, menjadikan firewall eksternal memerintah satu -satunya garis pertahanan
Untuk mengurangi risiko yang terkait dengan kesalahan konfigurasi seperti itu, disarankan untuk meninjau dan memodifikasinya sesuai dengan praktik terbaik keamanan, secara berkala memindai antarmuka yang dihadapi secara publik, dan memantau menjalankan kontainer untuk kegiatan jahat dan mencurigakan.
“Banyak eksploitasi aplikasi yang dikemukakan yang berasal dari beban kerja yang salah konfigurasi, seringkali saat menggunakan pengaturan default,” kata para peneliti. “Mengandalkan pengaturan 'default dengan kenyamanan' menimbulkan risiko keamanan yang signifikan.”
