Containers zijn kortstondig en uniek in hun orkestratie vanwege hun draagbaarheid, lichtgewicht karakter en hun vermogen om afhankelijkheden in te kapselen. Ze delen de kernel van het host-besturingssysteem, ondersteunen microservices en staan bekend als schaalbaar, wat betekent dat ze nieuwe kwetsbaarheden kunnen introduceren.
Beveiligingskwetsbaarheden in containers vergroten het aanvalsoppervlak en kunnen gevoelige informatie in gevaar brengen door toegang te verlenen tot vertrouwelijke activa. Niet alle beveiligingsrisico's van containers kunnen op orchestration-niveau worden aangepakt en het is belangrijk om bedreigingen voor individuele containers te beheren.
Het volgen van standaard DevSecOps-praktijken is een goed begin en om risico's te minimaliseren moeten bedrijven de beste containerbeveiligingspraktijken volgen. In deze gids gaan we in op de belangrijkste kwetsbaarheden op het gebied van containerveiligheid en geven we u een overzicht van alles wat u hierover moet weten.
Wat zijn kwetsbaarheden op het gebied van containerveiligheid?
Beveiligingsrisico's van containers zijn potentiële zwakke punten, hiaten of storingen in de manier waarop containertechnologieën zijn opgezet of functioneren. Deze kunnen een toegangspoort zijn voor ongewenste gasten om binnen te sluipen, gegevens te manipuleren of te knoeien met de applicaties die in deze containers draaien. In de wereld van softwareontwikkeling en IT kunnen deze kwetsbaarheden in containerveiligheid grote problemen veroorzaken, zoals het lekken van vertrouwelijke gegevens, verstoring van diensten of zelfs volledige systeemkapingen.
In de gebruikelijke op virtualisatie gebaseerde omgevingen heeft elke virtuele machine (VM) zijn eigen besturingssysteem (OS). Maar containers? Die delen allemaal dezelfde OS-kernel. Een kwetsbaarheid in één container kan dus gevolgen hebben voor andere containers op dezelfde host. Daarom is het zo belangrijk om een solide containerbeveiligingsstrategie te hebben voor alle soorten bedreigingen. Deze kwetsbaarheden in de containerveiligheid kunnen zich in elke fase van de levenscyclus van een container voordoen, van het bouwen van containerimages tot de implementatie en runtime ervan. We moeten dus voortdurend alert zijn om ze op te sporen en te verhelpen.
Soorten kwetsbaarheden in de containerveiligheid
Dit zijn de belangrijkste soorten kwetsbaarheden in de beveiliging van containers:
Kwetsbaarheden in containerafbeeldingen
Kwetsbaarheden in containerafbeeldingen zijn onder meer onveilige afhankelijkheden, verouderde software en verkeerde configuraties van afbeeldingen. Er kunnen ook kwaadaardige afbeeldingen, achterdeurtjes en schadelijke code in deze afbeeldingen zijn ingebed en verspreid. Er is ook het probleem van overmatige gelaagdheid, waardoor de grootte van de containerimage en het potentiële aanvalsoppervlak kunnen toenemen.
Onveilige configuraties
Containers kunnen open poorten of onveilige images hebben. Onveilige containerconfiguraties omvatten ook slechte instellingen en praktijken die in containeromgevingen worden gebruikt. Standaardinstellingen kunnen ook onbeveiligd blijven. Daarnaast is er het probleem van verouderde software en kwaadaardige componenten. Gebruikers kunnen nalaten om limieten in te stellen voor CPU- en geheugen- of schijfgebruik.
Overmatige machtigingen
U kunt te maken krijgen met beveiligingsproblemen, zoals het uitvoeren van containers met root-rechten of het ervaren van privilege-escalaties. Overmatige privileges kunnen containers in gevaar brengen en aanvallers in staat stellen de hostmachine over te nemen.
Blootgestelde geheimen
Blootgestelde geheimen verwijzen naar gevoelige informatie, zoals API-sleutels, inloggegevens, certificaten en tokens, die rechtstreeks in containerimages of configuratiebestanden zijn ingebed. Deze geheimen kunnen per ongeluk worden vastgelegd in versiebeheer of achterblijven in omgevingsvariabelen, waardoor ze toegankelijk worden voor onbevoegde partijen. Zodra ze zijn blootgesteld, kunnen aanvallers deze inloggegevens gebruiken om toegang te krijgen tot back-endservices, databases of cloudresources, wat kan leiden tot datalekken en serviceonderbrekingen.
Onveilige netwerkconfiguraties
Onveilige netwerkconfiguraties ontstaan wanneer containers worden verbonden met te tolerante netwerkbeleidsregels of standaard bridge-netwerken. Containers kunnen openbare IP-adressen, open poorten of brede CIDR-bereiken toegewezen krijgen zonder de juiste segmentatie. Zwakke firewallregels en een gebrek aan microsegmentatie maken laterale bewegingen tussen containers en hostsystemen mogelijk. Deze verkeerde configuratie vergroot het aanvalsoppervlak, waardoor aanvallers verkeer kunnen onderscheppen, niet-gepatchte services kunnen misbruiken of denial-of-service-aanvallen kunnen uitvoeren.
Verkeerde configuraties van orchestrators
Verkeerde configuraties van orchestrators komen voor in platforms zoals Kubernetes, Docker Swarm of OpenShift wanneer de standaardinstellingen ongewijzigd blijven of RBAC-beleidsregels te permissief zijn. Voorbeelden hiervan zijn het gebruik van de "standaard" naamruimte voor kritieke workloads, het toekennen van cluster-admin-rollen aan serviceaccounts of het niet handhaven van Pod Security Policies. Dergelijke onoplettendheden kunnen leiden tot ongeautoriseerde implementaties, privilege-escalaties en ongecontroleerd resourceverbruik, waardoor zowel de veiligheid als de stabiliteit van de containeromgeving wordt ondermijnd.
Runtime-kwetsbaarheden en containeruitbraken
Runtime-kwetsbaarheden en containeruitbraken hebben betrekking op fouten in container-runtimes of onderliggende kernels waardoor code binnen een container aan isolatie kan ontsnappen. Aanvallers maken misbruik van dergelijke kwetsbaarheden, zoals CVE-2020-14386 in runc, om root-toegang op de host te verkrijgen. Andere risico's vloeien voort uit niet-gepatchte container-runtimecomponenten, onveilig gebruik van host-mounts of geprivilegieerde containers. Succesvolle breakouts brengen de hostmachine in gevaar, waardoor aanvallers kunnen knoeien met andere containers of de orchestrator zelf.
Kwetsbaarheden in de toeleveringsketen
Kwetsbaarheden in de toeleveringsketen omvatten risico's die in elke fase van de levenscyclus van containers worden geïntroduceerd: van basisimages van derden en build-pijplijnen tot implementatietools. Kwaadaardige code kan worden geïnjecteerd in basisimages of CI/CD-scripts, terwijl niet-geverifieerde imageregisters trojanized artefacten kunnen bevatten. Door het ontbreken van image-ondertekening, kwetsbaarheidsscans en herkomstverificatie kunnen aanvallers achterdeurtjes of gecompromitteerde afhankelijkheden introduceren. Deze verborgen bedreigingen kunnen zich verspreiden over verschillende omgevingen en zowel de ontwikkeling, staging als productie beïnvloeden.
Hoe kan SentinelOne helpen?
Singularity Cloud Workload Security (CWS) is een Cloud Workload Protection Platform (CWPP) dat gecontaineriseerde workloads in AWS, Azure, Google Cloud en privé-datacenters beschermt met behulp van AI-aangedreven dreigingsdetectie en reacties op machinesnelheid biedt. Met CWS kunt u afwijkingen in de containerconfiguratie detecteren die verband houden met uw cloudworkloads. U krijgt ook toegang tot een uitgebreide forensische geschiedenis van workloadtelemetrie en datalogs die nodig zijn voor het onderzoeken van incidenten en het verkorten van responstijden.
SentinelOne Singularity™ Cloud Native Security ondersteunt het scannen van VM's, workloads, containerimages en registers. U kunt meer dan 750 soorten geheimen identificeren die hard gecodeerd zijn in coderepositories, en voorkomen dat ze uitlekken.
De Kubernetes Security Posture Management (KSPM) beschermt uw Kubernetes-clusters en -workloads, waardoor menselijke fouten worden verminderd en handmatige interventies tot een minimum worden beperkt.
Hiermee kunt u beveiligingsnormen, zoals RBAC-beleidsregels (Role-Based Access Control), afdwingen en automatisch beleidsschendingen in de Kubernetes-omgeving detecteren, beoordelen en verhelpen. Het stroomlijnt ook cloud-native beveiliging en sluit aan bij kaders zoals de Algemene Verordening Gegevensbescherming (AVG), de Health Insurance Portability and Accountability Act (HIPAA) en de benchmarks van het Center for Internet Security (CIS).
SentinelOne in actie zien
Ontdek hoe AI-gestuurde cloudbeveiliging uw organisatie kan beschermen in een één-op-één demo met een SentinelOne productexpert.
Vraag een demo aanConclusie
SentinelOne onderscheidt zich als leider op het gebied van cloudbeveiliging en is een betrouwbare partner bij het verhelpen van containerbeveiligingsproblemen. Of het nu gaat om het opsporen van configuratieafwijkingen, het blootleggen van verborgen geheimen of het continu bewaken van uw containeromgeving, SentinelOne zorgt ervoor dat uw onderneming potentiële gevaren een stap voor blijft.
Beveilig uw containeromgevingen vandaag nog en profiteer van het aanbod van SentinelOne.
"Veelgestelde vragen over kwetsbaarheden in containerveiligheid
Beveiligingsrisico's van containers zijn zwakke plekken in de configuratie of werking van containertechnologieën die aanvallers kunnen misbruiken om ongeoorloofde toegang te verkrijgen, gegevens te stelen of systemen te compromitteren. Deze kwetsbaarheden kunnen voorkomen in containerimages, runtime-omgevingen of orchestrationplatforms zoals Kubernetes.
Aangezien containers dezelfde OS-kernel delen, kan een kwetsbaarheid in één container ook gevolgen hebben voor andere containers op dezelfde host.
Veelvoorkomende kwetsbaarheden zijn onder meer verouderde softwarepakketten met bekende beveiligingsfouten, hardgecodeerde geheimen zoals wachtwoorden en API-sleutels, kwaadaardige code van aanvallen op de toeleveringsketen en onveilige basisimages uit onbetrouwbare registers.
Er zijn ook kwetsbare afhankelijkheden en bibliotheken die tijdens het bouwproces worden geïmporteerd. Deze problemen kunnen containers blootstellen aan inbreuken wanneer ze in productie worden ingezet.
Verkeerde configuraties creëren directe paden voor aanvallers om containers te misbruiken en mogelijk naar het hostsysteem te ontsnappen. Veelvoorkomende problemen zijn onder meer het uitvoeren van containers met root-rechten, het blootstellen van onnodige poorten aan het internet, het gebruik van standaardwachtwoorden en het koppelen van gevoelige hostmappen.
Deze eenvoudige fouten kunnen leiden tot escalatie van rechten, datalekken en volledige compromittering van het systeem. Ze zijn vaak gemakkelijker te misbruiken dan kwetsbaarheden in de code.
