Les organisations utilisent des conteneurs pour atteindre de nouveaux niveaux d’efficacité et d’évolutivité dans le cloud. Toutefois, cela a augmenté la complexité de la surface d’attaque qu’elles doivent protéger et a placé les conteneurs dans le viseur des adversaires.
La sécurité des conteneurs commence par l’image du conteneur. Les développeurs utilisent parfois des images de base provenant d’un registre externe pour générer leurs images. Malheureusement, ces images peuvent contenir des logiciels malveillants ou des bibliothèques vulnérables. Il est donc crucial pour les organisations de mettre l’accent sur l’évaluation de leur image dans le cadre de leur stratégie de sécurité du cloud.
Types courants d’erreurs de configuration d’images conteneurs
Voici quelques problèmes de sécurité courants liés aux images conteneurs :
Utilisation d’un compte d’utilisateur root dans les conteneurs
Lorsqu’un conteneur est exécuté avec des privilèges root, le risque que des cyberattaquants compromettent la machine hôte augmente.
Utilisation d’images obsolètes, vulnérables et contenant des portes dérobées
Les cyberattaquants profiteront des images vulnérables ou compromises. L’analyse des images constitue donc une défense vitale.
Utilisateurs indésirables faisant partie d’un groupe Docker
Si un utilisateur fait partie d’un groupe Docker, il est possible d’augmenter ses privilèges pour qu’il bénéficie d’un accès root. Ceci représente une position stratégique pour un cybercriminel.
Utilisation d’un indicateur de privilèges
L’utilisation d’un conteneur avec un indicateur de privilèges permet aux utilisateurs d’accéder aux ressources de l’hôte, ce qui peut être exploité par un cyberattaquant en cas de compromission du conteneur.
Montage de fichiers ou de répertoires sensibles sur le conteneur
Docker permet aux utilisateurs de monter les fichiers et répertoires de la machine hôte sur les conteneurs, ce qui peut augmenter la surface d’attaque si les fichiers sont sensibles.
Ces erreurs de configuration et d’autres impliquant Docker ou Kubernetes représentent un risque important pour les organisations, et les identifier constitue un élément essentiel de votre stratégie de sécurité du cloud.
Comment les cybercriminels ciblent les conteneurs
Pour minimiser les risques, il est impératif d’identifier les dangers auxquels votre organisation est exposée. Vous devez donc comprendre comment les conteneurs sont ciblés dans les environnements cloud.
Les cybercriminels exploitent régulièrement les conteneurs Docker mal configurés. Les images Docker sont des modèles servant à créer des conteneurs. Ces images peuvent être utilisées soit de façon autonome, pour que les utilisateurs puissent interagir directement avec un outil ou service, soit en tant que parent d’une autre application. Compte tenu de cette structure hiérarchique, si une image est modifiée pour contenir des outils malveillants, tous les conteneurs dérivés de celle-ci seront également infectés.
En 2021, l’équipe CrowdStrike Intelligence a produit un rapport sur la famille de logiciels malveillants Doki, qui utilise les conteneurs à la fois comme vecteur d’infection initial et pour des activités de suivi parallèles. Une fois les cybercriminels dans la place, ils peuvent exploiter ces privilèges étendus pour se déplacer latéralement puis se propager dans tout le réseau. CrowdStrike Intelligence a également continué à suivre les opérations des cyberadversaires impliquant l’accès et la modification des composants des clusters Kubernetes.
Kubernetes est un système d’orchestration de conteneurs open source qui automatise le déploiement, la montée en charge et la gestion des applications et des ressources partagées qui leur sont associées. L’équipe de Threat Hunting de CrowdStrike Falcon OverWatch™ a observé un intérêt croissant de la part des cyberadversaires pour les clusters Kubernetes exécutés au sein des environnements d’entreprise. Le cadre Kubernetes est un système complexe comprenant toute une série de composants, ce qui multiplie les probabilités d’erreurs de configuration susceptibles de fournir au cyberadversaire un accès initial à l’un des composants et des opportunités ultérieures de déplacement latéral pour accéder aux ressources voulues.
Comment protéger vos conteneurs
Réduisez les surfaces d’attaque dans les images conteneurs (p. ex., supprimez les outils de débogage)
Afin de diminuer la surface d’attaque, les entreprises doivent se focaliser sur la détection des vulnérabilités, des logiciels malveillants, des infractions à la conformité et autres, depuis la phase de compilation jusqu’à l’exécution.
Procédez à une évaluation des vulnérabilités lors de la création et des tests des conteneurs avant de les enregistrer dans le registre des conteneurs.
L’évaluation des vulnérabilités permet aux entreprises de détecter les problèmes de sécurité avant qu’ils ne puissent être exploités par des cyberattaquants.
Évitez d’utiliser des images conteneurs partagées publiquement
Les images utilisées peuvent être obsolètes ou vulnérables, ce qui peut entraîner un risque supplémentaire dans votre environnement cloud.
Limitez les privilèges des conteneurs
Suivez le principe du moindre privilège pour vous assurer que les conteneurs n’ont pas des autorisations excessives.
Assurer la sécurité de l’infrastructure cloud requiert une protection de sécurité tout au long du pipeline CI/CD. En adoptant une approche Shift Left pour la sécurité et en procédant à une évaluation proactive des conteneurs, CrowdStrike Cloud Security peut réduire les risques au sein de votre organisation en détectant les vulnérabilités, les logiciels malveillants intégrés, les informations sensibles stockées ou tout autre problème de sécurité avant tout déploiement.
Rapport 2023 sur les risques liés au cloud
Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu’en 2024.
Télécharger