Renforcer la sécurité de Kubernetes devrait être une priorité de tous les instants pour les organismes qui y recourent, mais ce n'est pas toujours systématiquement le cas malgré des risques évidents. Pour aider à faire passer le message, l'agence de sécurité intérieure (NSA) des États-Unis et celle de la sécurité des systèmes d'information (CISA) ont publié un document conjoint intitulé « Kubernetes Hardening Guidance ». Pour rappel, K8S est un système d'orchestration open source qui s'appuie sur des conteneurs pour automatiser le déploiement, la mise à l'échelle et la gestion des applications, généralement dans un environnement cloud. Selon le dernier rapport State of Kubernetes Security de RedHat, plus de la moitié des professionnels de la sécurité interrogés ont déclaré avoir retardé le déploiement des applications Kubernetes en production pour des raisons de sécurité. De plus, presque tous les répondants ont indiqué avoir été confrontés à un incident de sécurité dans leur environnement Kubernetes au cours de l'année écoulée. Soulignant l'ampleur des problèmes de sécurité entourant cet environnement, 59 % des personnes interrogées ont déclaré qu'elles s'inquiétaient le plus des besoins de sécurité et de conformité non traités ou des menaces pesant sur les conteneurs.
Le passage rapide aux environnements cloud, en particulier depuis l'avènement de la pandémie, accroît sans aucun doute ces problèmes de sécurité. Il n'est donc pas surprenant que la NSA et la CISA aient ressenti le besoin d'aider les organisations à gérer la sécurité dans un environnement conteneurisé, qui est plus complexe que les « plateformes logicielles monolithiques traditionnelles ». Bien que les agences aient adapté leurs directives aux administrateurs système des systèmes de sécurité nationale (systèmes contenant des informations classifiées ou de renseignement) et des infrastructures critiques, elles encouragent les administrateurs des réseaux gouvernementaux fédéraux et étatiques, locaux, tribaux et territoriaux (SLTT) à également mettre en œuvre les recommandations.
Trois grands dangers guettent Kubernetes
Au sein de l'architecture Kubernetes se trouvent des clusters composés de plans de contrôle et d'une ou plusieurs machines physiques ou virtuelles ou noeuds qui hébergent des pods comprenant un ou plusieurs conteneurs. Les conteneurs abritent des progiciels et toutes leurs dépendances. Dans ce contexte, NSA et CISA indiquent que si Kubernetes a toujours été la cible d'acteurs malveillants pour permettre de voler des données, les acteurs malveillants s'en prennent désormais à lui pour accéder à des ressources de calcul pour miner de la crypto-monnaie. Trois risques parmi les plus probables ont en outre été avancés :
- Dangers au niveau de la chaine d'approvisionnement à plusieurs niveaux, y compris pour le conteneur et infrastructure sous-jacentes ;
- Acteurs malveillants pouvant exploiter plusieurs API exposées par l'architecture, notamment le plan de contrôle, les nœuds et les applications conteneurisées ;
- Menaces internes provenant d'acteurs disposant de privilèges élevés ou de connaissances particulières, notamment des administrateurs, des utilisateurs et des fournisseurs de services ou d'infrastructure cloud.
Le document de 59 pages explique par ailleurs comment Kubernetes est structuré, de la plus petite unité appelée pods, qui se compose d'un ou plusieurs conteneurs, jusqu'au réseau de clusters. En outre, il contient des stratégies de renforcement pour éviter les erreurs de configuration courantes et guider les administrateurs système et les développeurs sur la façon de déployer l'orchestrateur de containers. Des exemples de configurations mettant en pratique les mesures de durcissement et d'atténuation recommandées sont aussi proposées.
Les 7 recommandations pour muscler la sécurité de Kubernetes
Le document d'orientation de la NSA et du CISA recommande aux équipes informatiques d'être particulier attentif aux points suivants :
- Analysez les conteneurs et les pods à la recherche de vulnérabilités ou de mauvaises configurations ;
- Exécutez des conteneurs et des pods avec le moins de privilèges possible ;
- Utilisez la séparation du réseau pour contrôler la quantité de dommages qu'une compromission peut causer ;
- Utilisez des pare-feu pour limiter la connectivité réseau inutile et le cryptage pour protéger la confidentialité ;
Utilisez une authentification et une autorisation fortes pour limiter l'accès des utilisateurs et des administrateurs et limiter la surface d'attaque ;
- Utilisez l'audit des journaux pour que les administrateurs puissent surveiller l'activité et être alertés des activités malveillantes potentielles ;
- Examinez périodiquement tous les paramètres Kubernetes et utilisez des analyses de vulnérabilité pour vous assurer que les risques sont correctement pris en compte et que les correctifs de sécurité sont appliqués.
Le Dr Trevor Morgan, chef de produit de la société allemande de protection et de conformité des données Comforte AG, a déclaré à notre confrère CSO que le document d'orientation conjoint est « un très bon rapport. Il met quelque chose au premier plan : la sécurité des données et sa relation avec le cloud, un enjeu dans lequel Kubernetes s'insère parfaitement.
Un faux sentiment de sécurité apporté par le cloud
« Nous considérons tous le cloud comme notre OneDrive, Dropbox, etc. Les entreprises envoient beaucoup de données, soit dans leur propre cloud privé, soit dans un cloud public, soit sur Amazon, de sorte que de nombreuses informations sont transmises hors site. Ce n'est donc plus dans l'environnement protégé de l'organisation », explique Trevor Morgan. « Le vrai problème avec cela, c'est que pour une raison quelconque, lorsque nous donnons quelque chose, nous pensons simplement que quelqu'un d'autre va s'en occuper. » Il y a presque ce faux sentiment de sécurité alors que les organisations tirent parti des services basés sur le cloud en ce qui concerne la sécurité.
C'est ce faux sentiment de sécurité que le guide Kubernetes cherche à démanteler en proposant des explications détaillées des différents composants de l'architecture Kubernetes et en expliquant comment la sécurité peut être renforcée avec chaque composant. « Ce rapport est vraiment essentiel car il souligne le fait que lorsque des données sont envoyées dans un environnement cloud, souvent alimenté par des conteneurs Kubernetes, les acteurs de la menace recherchent les données que vous y transmettez », explique Trevor Morgan.
Des directives suite aux attaques de Colonial Pipeline et Saudi Aramco
Concernant les raisons pour lesquelles la NSA et la CISA pourraient publier ce rapport maintenant, Morgan pense qu'elles publient des informations utiles à la suite d'une série d'incidents de cybersécurité très médiatisés et destructeurs tels que les attaques de ransomware sur Colonial Pipeline et Saudi Aramco. « Ce rapport est comme un message d'intérêt public. C’est un peu une éducation avant-gardiste.
Les directives concernant Kubernetes sont également publiées près d'un mois après que la NSA, la CISA et le FBI ont publié un avertissement consultatif conjoint sur l'acteur russe de la menace utilisant des clusters Kubernetes pour lancer des attaques, bien qu'il n'y ait pas de lien clair entre cet événement et les nouvelles directives. Selon cet avis, de la mi-2019 au début de 2021 au moins, l'unité militaire 26165, également connue sous le nom d'APT28 ou Fancy Bear, a utilisé un cluster Kubernetes pour mener « des tentatives d'accès par force brute généralisées, distribuées et anonymisées contre des centaines de cibles gouvernementales et privées dans le monde entier ». Les agences ont en outre averti que ces attaques étaient probablement en cours.
Les organisations ciblées dans la campagne couvrent un large éventail d'organisations gouvernementales et politiques, d'entrepreneurs de la défense, de sociétés énergétiques, logistiques, groupes de réflexion, universités, cabinets d'avocats et de médias. La capacité d'attaque par force brute a permis aux acteurs russes d'accéder aux données protégées, y compris des e-mails, et d'identifier les informations d'identification de compte valides qu'ils pourraient utiliser pour obtenir un accès initial et de l'élévation de privilèges notamment. Au moment de la publication de cet avis, NSA, CISA et FBI ont demandé aux organisations d'adopter une série de mesures d'hygiène informatique telles que l'authentification double facteurs, des mots de passe forts et une politique zero trust. Les agences ont également suggéré aux organisations de refuser toute activité entrante provenant de services d'anonymisation connus, tels que les réseaux privés virtuels commerciaux et The Onion Router (TOR).