La NSA et la CISA des États-Unis publient un guide pour renforcer la sécurité des clusters Kubernetes
en vue d'aider les entreprises à rendre leurs infrastructures plus résilientes

La National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont publié ce mardi un rapport technique de 59 pages contenant des conseils pour le renforcement de la sécurité des clusters Kubernetes. Le rapport décrit les défis de sécurité liés à la configuration et à la sécurisation des clusters Kubernetes, et présente des stratégies de renforcement pour guider les administrateurs système afin d'éviter les erreurs de configuration courantes. Le CISA encourage les utilisateurs et les administrateurs à assurer la sécurité des applications en suivant les conseils présentés dans le rapport.

Kubernetes (ou K8s) est un système open source qui automatise le déploiement, la mise à l'échelle et la gestion des applications exécutées dans des conteneurs, et qui est souvent hébergé dans un environnement en nuage. L'utilisation de ce type d'infrastructure virtualisée peut offrir plusieurs avantages en matière de flexibilité et de sécurité par rapport aux plateformes logicielles traditionnelles et monolithiques. Développé à l'origine par des ingénieurs de Google, puis mis en libre accès par la Cloud Native Computing Foundation, Kubernetes est l'un des logiciels d'orchestration de conteneurs les plus populaires à l'heure actuelle.

Nom : hfEpil8.png
Affichages : 2592
Taille : 322,2 Ko

Cependant, la gestion sécurisée de tous les éléments, des microservices à l'infrastructure sous-jacente, introduit d'autres complexités. Selon les deux agences, K8s est couramment ciblé pour trois raisons : le vol de données, le vol de puissance de calcul ou le déni de service. Les auteurs du rapport estiment que le vol de données est traditionnellement la principale motivation. Cependant, les cyberattaquants peuvent tenter d'utiliser Kubernetes pour exploiter l'infrastructure sous-jacente d'un réseau pour obtenir de la puissance de calcul à des fins telles que le minage de cryptomonnaies. Ces attaques se sont répandues dernièrement.

Au cours des dernières années, plusieurs botnets de cryptominage ont ciblé les mauvaises configurations de clusters Kubernetes. Les acteurs de la menace ont scanné Internet à la recherche de fonctionnalités de gestion Kubernetes laissées exposées en ligne sans authentification ou d'applications fonctionnant sur de grands clusters Kubernetes (comme Argo Workflow ou Kubeflow), ont obtenu l'accès à un back-end Kubernetes, puis ont utilisé cet accès pour déployer des applications de minage de cryptomonnaies à l'intérieur de l'infrastructure cloud d'une victime. Ces attaques auraient commencé à se dérouler à un rythme timide début 2017.

Grâce aux orientations publiées mardi, les responsables de la CISA et de la NSA espèrent fournir aux administrateurs système une base de référence sécurisée pour les futures configurations de Kubernetes qui éviteront ce type d'intrusions. Les principales actions comprennent l'analyse des conteneurs et des pods pour détecter les vulnérabilités ou les mauvaises configurations, l'exécution des conteneurs et des pods avec le moins de privilèges possible, et l'utilisation de la séparation des réseaux, des pare-feu, de l'authentification forte et de l'audit des journaux. Cela devrait permettre de garantir la sécurité des applications.

Les administrateurs système doivent aussi suivre les conseils du rapport technique sur la cybersécurité et se tenir au courant des correctifs, des mises à jour et des mises à niveau afin de minimiser les risques. Les deux agences fédérales recommandent également des examens périodiques des paramètres de Kubernetes et des analyses de vulnérabilité pour s'assurer que les risques appropriés sont pris en compte et que les correctifs de sécurité sont appliqués. Voici ci-dessous le résumé des points importants des recommandations faites par la NSA et la CISA :

  • analyser les conteneurs et les pods à la recherche de vulnérabilités ou de mauvaises configurations ;
  • exécuter les conteneurs et les pods avec le moins de privilèges possible ;
  • utiliser la séparation des réseaux pour contrôler la quantité de dommages qu'un compromis peut causer ;
  • utiliser des pare-feu pour limiter les connexions réseau inutiles et le chiffrement pour protéger la confidentialité ;
  • utiliser l'authentification forte et l'autorisation pour limiter l'accès des utilisateurs et des administrateurs ainsi que pour limiter la surface d'attaque ;
  • utiliser l'audit des journaux afin que les administrateurs puissent surveiller l'activité et être alertés d'une éventuelle activité malveillante ;
  • examiner périodiquement tous les paramètres de Kubernetes et utiliser des analyses de vulnérabilité pour vous assurer que les risques sont correctement pris en compte et que les correctifs de sécurité sont appliqués.


Source : NSA, CISA, Rapport de l'étude (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous qu'il est difficile d'assurer la sécurité des clusters K8s ?
Avez-vous été déjà confronté à l'une des attaques décrites par la NSA et la CISA ?
Les recommandations du rapport suffisent-elles pour assurer la sécurité des clusters Kubernetes ? En avez-vous d'autres ?

Voir aussi

Les dépenses liées à la plateforme d'orchestration de containers Kubernetes sont difficilement maîtrisées, selon un nouveau rapport de la CNCF en collaboration avec a Fondation FinOps

Kubernetes touché par une faille critique pouvant provoquer une escalade de privilège ; des correctifs sont disponibles pour le système d'orchestration

Canonical introduit Micro-Kubernetes à haute disponibilité, un cluster Kubernetes léger pour les postes de travail, les appareils IdO et l'Edge Computing

Kubernetes 1.18 est disponible et apporte la prise en charge de ContainerD sous Windows, Canonical a déjà annoncé la prise en charge de cette version

89 % des RSSI pensent que les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de sécurité des applications, selon une récente étude de Dynatrace