Kubernetes ist nicht immun gegen Ransomware – und wie Illumio helfen kann

Ransomware is not a problem in Kubernetes, right? Containers constructs are so dynamic and ephemeral that there is little risk that ransomware would have time to highjack a pod, for example, and then try to laterally propagate malicious payloads between namespaces. Pods spin up and spin down so dynamically that ransomware is of little concern in Kubernetes, thus my cluster is safe from this specific cybersecurity threat, right?

Unfortunately, this assumption has been proven wrong too many times. Ransomware tends to work differently in Kubernetes than it does outside of containers clusters, but it is a very real cybersecurity risk that DevSecOps architects can’t afford to ignore. Ransomware can do very real damage in a Kubernetes cluster, and the best form of remediation is prevention.

Illumio kann verhindern, dass Ransomware Ihren Kubernetes-Cluster kapert, und verhindern, dass Ihr Unternehmen das nächste Opfer eines Cyberangriffs ist, das in den Nachrichten erscheint.  ‍

Wie sich Ransomware in Kubernetes ausbreitet

In non-containers workloads, ransomware will hijack a host and then look for open ports. Common ports which are open by default on many workloads are RDP, SSH, and SMB. It is trivial for ransomware to spoof connections over these ports and establish a connection to a neighboring host. Once the connection is open, ransomware can quickly deliver malicious payload to the next host, take control of it, and look for open ports, repeating this process across all neighboring hosts very quickly.  

Diese Ausbreitung zwischen Hosts kann schneller erfolgen, als die meisten Erkennungs- und Reaktionslösungen zum Schutz vor Malware erkennen und darauf reagieren können. Es dauert nicht lange, bis die gesamte Infrastruktur in Geiselhaft genommen werden kann.  

In Kubernetes sind Hosts – auch "Nodes" genannt – virtuelle Maschinen (VMs) oder Bare-Metal-Hosts, auf denen Container-Code ausgeführt wird. Sie erstellen eine Abstraktionsschicht über dem zugrunde liegenden Betriebssystem (OS) des Knotens. Ein Cluster wird erstellt, wenn Pods und Dienste mit einem Namespace verknüpft sind, und dieser Namespace enthält den gesamten Code und die Bibliotheken, die für die darin ausgeführte Anwendung erforderlich sind. Die Konstrukte innerhalb eines Namespace sind dynamisch: Wenn Computeressourcen horizontal skaliert werden, werden Pods hochgefahren und führen Code aus und können dann schnell wieder heruntergefahren werden, nur um zu einem späteren Zeitpunkt mit einer anderen IP-Adresse wieder hochgefahren zu werden.  

Die Lebensdauer eines Pods kann sehr kurz sein, und die meisten Pods führen keine offenen Ports wie RDP oder SSH aus. Dies liegt daran, dass Pods diese Protokolle nicht verwenden, um mit anderen Pods zu kommunizieren. Daher wird Ransomware innerhalb eines Clusters oft als wenig relevant wahrgenommen.  

Ransomware ist eine große Bedrohung in Kubernetes

However, ransomware can quickly become a cyber disaster in a Kubernetes cluster. Malicious code can be introduced early in the code development life cycle but not get detected because they are not yet running. Malicious payloads can also be introduced into a Kubernetes cluster via exposed APIs, weak authentication settings, un-patched software, or perhaps the most common risk: misconfigured settings.  

Cyber threats can be introduced anywhere in the software supply chain. For example, if a container’s image is downloaded from an open-source repository; and then run within a cluster, that image can contain embedded code which can be executed and “escape” from a pod into the underlying node. It will then deploy ransomware into that underlying node. At that point, ransomware can hijack that node and establish connections over open ports to neighboring nodes, allowing the threat to quickly hijack or encrypt all underlying nodes hosting the Kubernetes cluster.  

This can cause the applications running on worker nodes to become “bricked” – effectively shut down. If the code escapes into an underlying master node, the control plane of the Kubernetes cluster can be hijacked and will risk bricking the entire cluster. A small problem introduced early in the code development lifecycle can quickly become a major disaster.  

An example of this type of malware is Siloscape, discovered in March of 2021. It uses vulnerabilities in little-documented thread processes to access the underlying node, and then is able to access kubectl to execute commands which will spread itself to neighboring nodes. This is a stark example of why the control plane of Kubernetes nodes needs to be protected, and access limited by other processes. Illumio is able to enforce access to specific processes on a host, limiting who has access to them.  

Illumio kann proaktiv vor Ransomware in Kubernetes schützen

Illumio enforces workload communication both within a Kubernetes cluster and the underlying node.  

Innerhalb eines Kubernetes-Clusters Illumio erzwingt die Kommunikation zwischen Namespaces oder zwischen Namespaces und Workloads außerhalb eines Ingress-Controllers und verhindert so unnötige Kommunikation zwischen Workloads. Im Gegensatz zu anderen Anbietern erstreckt sich die Transparenz und Durchsetzung von Illumio auf die gesamte hybride Angriffsfläche, nicht nur auf Container, und ermöglicht es SecOps-Teams, Richtliniensilos zu beseitigen und bestehende Abläufe in Container auszuweiten, um die Cyber-Resilienz zu verbessern.

Zwischen zugrunde liegenden Knoten, Illumio wird auch die Kommunikation erzwingen, so dass, wenn unbekannter bösartiger Code aus dem Kubernetes-Cluster zum Knoten entweicht, dieser bösartige Code daran gehindert wird, sich auf benachbarte Knoten auszubreiten. Dies ist möglich, weil Illumio verhindert, dass Sitzungen zwischen diesen Knoten aufgebaut werden. Da Illumio davon ausgeht, dass Sicherheitsverletzungen unvermeidlich sind, selbst durch Bedrohungen, die zu Beginn der Software-Lieferkette eingeführt werden, sind Kubernetes-Cluster gegen Ransomware gesichert, um die zugrunde liegende Infrastruktur zu stören.  

Wie man die Sicherheit in Kubernetes mit Illumio nach links verschiebt

In der Cybersicherheit bezieht sich Shift-Left auf die Einführung von Sicherheitslösungen zu Beginn des Lebenszyklus der Codeentwicklung:  

• Die rechte Seite des Lebenszyklus stellt das Hosten von Code als Anwendung und das Bereitstellen einer Firewall davor dar.

• Die linke Seite stellt die Geburt dieses Codes dar, während er entwickelt wird.  

Wenn ein verwalteter Workload eine unbekannte Bedrohung enthält, die in den Code eingebettet ist, der später gestartet wird und versucht, sich auf benachbarte Hosts auszubreiten, verhindert Illumio die Ausbreitung dieser Bedrohung.

Dies gilt auch dann, ohne dass Illumio die Absicht dieser Drohung kennt. Die meisten Detect-and-Response-Sicherheitslösungen versuchen, die Art einer Bedrohung zu verstehen, bevor sie eine Entscheidung treffen. Aber Illumio verschwendet keine Zeit damit, dies zu verstehen, bevor er eine Entscheidung trifft. Der Umfang der lateralen Kommunikation, der für die meisten Workloads erforderlich ist, ist begrenzt, und die meisten offenen Ports sollten geschlossen oder kontinuierlich überwacht werden. Geräte können unter Quarantäne gestellt werden und Illumio kann jede laterale Kommunikation verhindern, ohne wissen zu müssen, um welche Art von Schaden es sich handelt.  

Kubernetes sollte niemals als immun gegen Ransomware angesehen werden. Prävention ist die beste Form der Abhilfe, und Illumio verhindert, dass Ransomware alle Workloads infiziert, sogar in Kubernetes.

Want to learn more about how Illumio can secure Kubernetes from the spread of ransomware? Contact us today for a free consultation and demo.