AWS成重灾区，全球2.2万个容器编排与API管理系统曝露在公网

容器与容器编排系统近年来快速发展，用来管理这些系统的除了web界面与相关API之外，还有管理仪表板与API，后者允许使用者于单一界面上执行集群的各项管理功能，包含管理应用程序与容器、执行任务、新增及修改应用程序，以及设定安全控制等。

Lacework借助网页爬虫、Shodan、SSL，再加上其它内部工具在网络上找到了22672个可公开存取的容器管理节点，即便多数的管理界面都有凭证保护，但光是公开，就可能让黑客取得重要的信息，进而执行暴力破解或字典攻击。

分析显示，这些曝露在网络上的容器编排与API管理系统可能源自于不足的配置资源、缺乏凭证，或是采用了不安全的协议，在Lacework所发现的22672个容器编排平台中，95%由AWS托管，只有少数是在Google Cloud、OVH或其它云端平台，并有58%位于美国，其它依序是爱尔兰、德国、澳洲、新加坡与英国。

此外，在这些不安全的管理集群中，有305个没有启用认证机制，意味着黑客将可自由存取，或是借API与UI执行远程攻击。

至于最热门的容器编排系统则是Kubernetes，占了78%，其它依序是Docker Swarm系列（Docker Swarm、Portainer.IO与Swarmpit）、Mesos与Marathon。

Lacework建议容器管理者应先确认其编排系统的外部存取权限，执行多重因素存取验证，采用严格的网络存取控制，特别是UI与API，部署SSL及有效的凭证；Lacework也特别对最受欢迎的Kubernetes提供建议，包括让Kubernetes pods只执行读取，限制Kubernetes中的权限扩展，以及打造pod的安全策略。