Kubernetes Isn’t Immune to Ransomware – And How Illumio Can Help

Les rançongiciels ne sont pas un problème pour Kubernetes, n'est-ce pas ? Conteneurs les constructions sont si dynamiques et éphémères qu'il y a peu de risques qu'un ransomware ait le temps de pirater un pod, par exemple, puis d'essayer de propager latéralement des charges utiles malveillantes entre les espaces de noms. Les pods tournent et descendent de manière si dynamique que les rançongiciels ne sont guère préoccupants dans Kubernetes. Mon cluster est donc à l'abri de cette menace de cybersécurité spécifique, n'est-ce pas ?

Malheureusement, cette hypothèse s'est révélée fausse trop souvent. Les rançongiciels ont tendance à fonctionner différemment dans Kubernetes et en dehors des clusters de conteneurs, mais il s'agit d'un risque de cybersécurité bien réel que les architectes DevSecOps ne peuvent se permettre d'ignorer. Les rançongiciels peuvent provoquer de réels dégâts dans un cluster Kubernetes, et la meilleure forme de remédiation est la prévention.

Illumio peut empêcher les rançongiciels de pirater votre cluster Kubernetes, empêchant ainsi votre organisation de devenir la prochaine victime d'une cyberattaque à apparaître dans l'actualité. ‍

Comment les rançongiciels se propagent dans Kubernetes

Dans les charges de travail non liées aux conteneurs, les rançongiciels piratent un hôte, puis recherchent les ports ouverts. Les ports courants ouverts par défaut sur de nombreuses charges de travail sont RDP, SSH et SMB. Il est facile pour un rançongiciel d'usurper les connexions via ces ports et d'établir une connexion avec un hôte voisin. Une fois la connexion ouverte, les rançongiciels peuvent se propager rapidement charge utile malveillante à l'hôte suivant, prenez-en le contrôle et recherchez les ports ouverts, en répétant ce processus très rapidement sur tous les hôtes voisins.

Cette propagation entre les hôtes peut se produire plus rapidement que ce que la plupart des solutions de protection contre les programmes malveillants de détection et de réponse peuvent identifier et traiter. D'ici peu, toute l'infrastructure peut être prise en otage.

Dans Kubernetes, les hôtes, également appelés « nœuds », sont des machines virtuelles (VM) ou des hôtes bare-metal qui exécutent du code de conteneurs. Ils créent une couche d'abstraction au-dessus du système d'exploitation (OS) sous-jacent du nœud. Un cluster est créé lorsque des pods et des services sont associés à un espace de noms, et cet espace de noms contient tout le code et les bibliothèques requis par l'application qui s'y exécute. Les constructions d'un espace de noms sont dynamiques : lorsque les ressources de calcul sont mises à l'échelle horizontale, les pods démarrent et exécutent du code, puis peuvent être rapidement redescendus, pour être redémarrés ultérieurement avec une adresse IP différente.

La durée de vie d'un pod peut être très courte, et la plupart des pods n'exécutent pas de ports ouverts tels que RDP ou SSH. En effet, les pods n'ont pas tendance à utiliser ces protocoles pour communiquer avec d'autres pods. Ainsi, les rançongiciels sont souvent perçus comme peu pertinents au sein d'un cluster.

‍Les rançongiciels constituent une menace majeure pour Kubernetes‍

Cependant, ransomware peut rapidement devenir une cybercatastrophe dans un cluster Kubernetes. Les codes malveillants peuvent être introduits tôt dans le cycle de développement du code mais ne pas être détectés car ils ne sont pas encore en cours d'exécution. Des charges utiles malveillantes peuvent également être introduites dans un cluster Kubernetes via des API exposées, des paramètres d'authentification faibles, des logiciels non corrigés ou peut-être le risque le plus courant : des paramètres mal configurés.

Les cybermenaces peuvent être introduites n'importe où dans la chaîne d'approvisionnement logicielle. Par exemple, si l'image d'un conteneur est téléchargée depuis un référentiel open source, puis exécutée dans un cluster, cette image peut contenir du code intégré qui peut être exécuté et « s'échapper » d'un pod vers le nœud sous-jacent. Il déploiera ensuite un ransomware sur ce nœud sous-jacent. À ce stade, le ransomware peut pirater ce nœud et établir des connexions via des ports ouverts vers les nœuds voisins, ce qui permet à la menace de pirater ou de chiffrer rapidement tous les nœuds sous-jacents hébergeant le cluster Kubernetes.

Cela peut entraîner le blocage des applications exécutées sur les nœuds de travail, c'est-à-dire leur arrêt effectif. Si le code s'échappe dans un nœud maître sous-jacent, le plan de contrôle du cluster Kubernetes peut être piraté et risque de détruire l'ensemble du cluster. Un petit problème introduit au début du cycle de développement du code peut rapidement devenir une catastrophe majeure.

Voici un exemple de ce type de malware Paysage en silo, découvert en mars 2021. Il utilise des vulnérabilités dans des processus de thread peu documentés pour accéder au nœud sous-jacent, puis peut accéder à kubectl pour exécuter des commandes qui s'étendront aux nœuds voisins. C'est un exemple frappant de la raison pour laquelle le plan de contrôle des nœuds Kubernetes doit être protégé et l'accès limité par d'autres processus. Illumio est capable d'imposer l'accès à des processus spécifiques sur un hôte, en limitant les personnes qui y ont accès.

‍Illumio peut se protéger de manière proactive contre les rançongiciels dans Kubernetes

Illumio applique la communication de la charge de travail à la fois au sein d'un cluster Kubernetes et du nœud sous-jacent.

Au sein d'un cluster Kubernetes, Illumio renforcera la communication entre les espaces de noms, ou entre les espaces de noms et les charges de travail en dehors d'un contrôleur d'entrée, empêchant ainsi toute communication inutile entre les charges de travail. Contrairement à d'autres fournisseurs, la visibilité et l'application d'Illumio s'étendent à l'ensemble de la surface d'attaque hybride, et pas seulement aux conteneurs, ce qui permet aux équipes SecOps d'éliminer les silos politiques et d'étendre les opérations existantes aux conteneurs, améliorant ainsi la cyberrésilience.

Entre les nœuds sous-jacents, Illumio renforcera également la communication de sorte que si un code malveillant inconnu s'échappe du cluster Kubernetes et descend jusqu'au nœud, il ne pourra pas se propager vers les nœuds voisins. Cela est possible car Illumio empêche l'établissement de sessions entre ces nœuds. Illumio part du principe que les violations sont inévitables, même en cas de menaces introduites au début de la chaîne d'approvisionnement logicielle, les clusters Kubernetes sont protégés contre les rançongiciels dans le but de perturber l'infrastructure sous-jacente.

‍Comment shift-left security dans Kubernetes avec Illumio

Dans le domaine de la cybersécurité, shift-left fait référence à l'introduction de solutions de sécurité au début du cycle de développement du code :

• Le côté droit du cycle de vie représente l'hébergement du code en tant qu'application et le déploiement d'un pare-feu devant celui-ci.

• Le côté gauche représente la naissance de ce code au fur et à mesure de son développement.

Si une charge de travail gérée contient une menace inconnue intégrée dans du code qui est ensuite lancée et tente de se propager aux hôtes voisins, Illumio empêchera cette menace de se propager.

Cela est vrai même sans qu'Illumio connaisse l'intention de cette menace. La plupart des solutions de sécurité de détection et de réponse tentent de comprendre la nature d'une menace avant de prendre une décision. Mais Illumio ne perd pas de temps à essayer de comprendre cela avant de prendre une décision. La quantité de communication latérale requise par la plupart des charges de travail est limitée, et la plupart des ports ouverts doivent être fermés ou surveillés en permanence. Les appareils peuvent être mis en quarantaine et Illumio peut empêcher toute communication latérale sans avoir besoin de savoir quel type de dommage est tenté.

Kubernetes ne doit jamais être considéré comme immunisé contre les rançongiciels. La prévention est la meilleure forme de remédiation, et Illumio empêche les rançongiciels d'infecter toutes les charges de travail, même dans Kubernetes.

Vous souhaitez en savoir plus sur la manière dont Illumio peut protéger Kubernetes contre la propagation des rançongiciels ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.