Artigos

OWASP TOP 10: Kubernetes

Por 8 de dezembro de 2022 Sem comentários

São Paulo/SP – 08 de dezembro de 2022. O OWASP Kubernetes Top 10 tem como objetivo auxiliar profissionais de segurança, administradores de sistemas e desenvolvedores a priorizar os riscos no ecossistema Kubernetes.

*Por Nailton Paixão

Kubernete é uma plataforma de gerenciamento desenvolvida para gerir a configuração de aplicações em contêineres. A adoção dessa tecnologia tem como benefício, automatizar implantações e atualizações de aplicações, velocidade no momento de escalar aplicativos em contêineres além de conseguir operar contêineres em diversos hosts permitindo o uso do hardware de forma otimizada, o que ajuda a economizar recursos. A adoção de Kubernetes tem sido crescente, com isso, a segurança tem se tornado cada vez mais prioridade quando se trata de segurança de conteiners.

O OWASP Kubernetes Top 10 tem como objetivo auxiliar profissionais de segurança, administradores de sistemas e desenvolvedores a priorizar os riscos no ecossistema Kubernetes.

Segue abaixo o TOP 10:

  • K01:2022 Insecure Workload Configurations

Kubernetes são altamente configuráveis, com isso, podem ocorrer configurações incorretas de segurança que se propagam entre as cargas de trabalho e os clusters da organização. Uma pesquisa realizada pela Red Hat sobre   apontou que, quase 60% dos entrevistados sofreram um incidente de configuração incorreta em seus ambientes do Kubernetes nos últimos 12 meses.

  • K02:2022 Supply Chain Vulnerabilities

Kubernetes podem conter diferentes fases da cadeia de suprimentos do ciclo de vida do desenvolvimento. Um único contêiner sozinho pode conter milhares componentes e dependências de terceiros, tornando extremamente difícil a confiança de suas dependências. Os riscos vão desde a integridade de imagem, composição de imagem até vulnerabilidades de software conhecidas.

  • K03:2022 Overly Permissive RBAC Configurations

O Role-Based Access Control (RBAC) é um mecanismo responsável pelas permissões sobre os recursos (get, create, delete, etc.), quando bem configurado, é um mecanismo de segurança extremamente poderoso. Porém, rapidamente ele pode se tornar um grande risco para o cluster pois, a exploração dessa vulnerabilidade pode e aumentar os danos de um ataque.

  • K04: 2022 Lack of Centralized Policy Enforcement

A aplicação de políticas oferece às equipes de segurança a capacidade de aplicar requisitos de governança, conformidade e segurança em toda a infraestrutura.

  • K05:2022 Inadequate Logging and Monitoring

Por ter capacidade de gerar logs em vários níveis e de muitos componentes diferentes, pode ocorrer falhas na captura, armazenamento e na monitoria dos ativos, com isso, invasores têm a capacidade de explorar vulnerabilidades sem serem detectados. A falta de registro e monitoramento também apresenta desafios durante os esforços de investigação e resposta a incidentes.

  • K06:2022 Broken Authentication Mechanisms

Os Kubernetes têm diversas formas para autenticação, o que pode ser um problema quando se trata de segurança.

  • K07:2022 Missing Network Segmentation Controls

Dentro do Kubernetes, eventualmente, uma aplicação irá precisar se comunicar umas com as outras, quando não há controles limitando essas comunicações, qualquer aplicação pode se comunicar com outra sem restrições. Invasores podem explorar essa vulnerabilidade para ter acesso a outros containers.

  • K08: 2022 Secrets Management Failures

Um Secret é um objeto que contém uma pequena quantidade de informação sensível (senhas, tokens ou chaves). O uso de Secrets evita que você tenha de incluir dados confidenciais no seu código-fonte, por exemplo. Se mal configuradas podem expor dados sensíveis aos atacantes.

  • K09: 2022 Misconfigured Cluster Components

As configurações incorretas nos componentes principais do Kubernetes podem levar ao comprometimento completo da aplicação no container.

  • K10:2022 Outdated and Vulnerable Kubernetes Components

Hoje em dia já existem inúmeras vulnerabilidades no Kubernetes, manter softwares desatualizados podem a gerar inúmeros problemas comprometendo a integridade de todo o sistema.

Adicionalmente, a adoção de serviços de monitoria 24/7, como os de SOC (Security Operations Center), e a realização periódica de PenTests com o objetivo de identificar fragilidades que possam expor a segurança de sistemas e aplicações

— Nailton Paixão é Cybersecurity Consultant at [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!