Assurez-vous de déployer des containeurs sécurisés
Face à la popularité croissante des conteneurs et des moteurs d’orchestration comme Kubernetes, NBS System vous accompagne à identifier les problématiques de sécurité qui pèsent sur votre infrastructure grâce à un test d’intrusion.
Nos experts utilisent des techniques d’attaques communes contre les plateformes docker, Kubernetes, et les infrastructures conteneurisées afin de mettre en exergue les vulnérabilités et les faiblesses de configuration associés aux environnements conteneurisés et aux systèmes distribués.
Ainsi, nous vous proposons d’identifier par une approche pratique, les vulnérabilités relatives à vos applications s’exécutant sur des conteneurs à l’intérieur de clusters Kubernetes.
Conteneurisation : Docker
Il existe de nombreux problèmes de sécurité auxquels se confrontent les plateformes Docker. Lors de leur intervention nos auditeurs considèrent les conteneurs en eux même mais également l’écosystème dans lequel ils évoluent.
Nos auditeurs s’inspirent des vecteurs d’attaques courants et tentent d’exploiter entre autres :
- Les gestionnaires de conteneurs
- Les volumes montées non sécurisées
- Les mauvaises configurations du démon docker
- La capacité à corrompre une image
- La capacité à s’évader des conteneurs
- Les mauvaises configuration réseau
- L’hôte docker
Orchestration : Kubernetes
En tant que Opérateur, nous sommes régulièrement amenés à intervenir sur des environnement Kubernetes, que ce soit en on premise, dans le cloud ou encore au travers de clusters hybrides. L’expérience de nos équipes s’étend à plusieurs distributions ainsi qu’à des environnements Kubernetes managés : GKE de Google Cloud, EKS d’Amazon et AKS de Microsoft Azure.
Notre expérience nous montre que ces environnements ne sont pas exempts de problèmes de sécurité et plusieurs points doivent donc être considérés lors du déploiement d’un tel cluster.
Nos auditeurs tenteront différentes approches qui sont représentatives des attaques courantes, de façon non exhaustive :
- Exploiter les défauts de configuration du registry
- Attaquer les métas donnés du cluster à l’aide de vulnérabilité de type SSRF
- Rechercher des défauts de configurations et des secrets dans le cluster
- S’évader des conteneurs pour accéder aux nœuds et aux systèmes hôtes
- Rechercher des erreurs dans la gestion des autorisations RBAC
- Eprouver l’API REST
Nos scénarios sont adaptés à votre environnement et sont mis à jour en fonction des dernières CVE relatives à Kubernetes.
Test d’intrusion : Éprouvez votre défense
Si des mécanismes de sécurisation sont en place, nos consultants les éprouveront et veilleront à ce qu’ils ne puissent pas être évadés. Nos auditeurs sont familiers avec les solutions de défense couramment déployés en environnement conteneurisés. Nous pouvons citer entre autres des solutions comme : Seccomp, AppArmor, SELinux, ou encore Falco.
Nos auditeurs effectueront des attaques complexes en abusant de différents vecteurs d’attaques afin de mettre en exergue les failles de sécurité qui impactent votre infrastructure conteneurisée. Ils évaluent votre sécurité en fonction des meilleures pratiques et ceux à l’aide d’outils et de scripts personnalisés.
Vous souhaitez mettre à l’épreuve votre environnement conteneurisé ? Sollicitez nos équipes et demandez un accompagnement !
