互联网上可以发现超过40,000个Kubernetes和Docker容器 - 许多配置错误的数据库暴露了不应公开访问的数据库的个人信息。

这是安全公司Unit42的警告，它使用Shodan搜索引擎搜索可识别的容器。

“在我们的研究中，我们能够使用简单的搜索术语在全球范围内轻松找到20,353个Kubernetes容器。这些实例位于美国，爱尔兰，德国，新加坡和澳大利亚，其中绝大多数都在亚马逊上托管，” Unit42。

它继续说：“我们还能够使用简单的搜索条件在全球范围内轻松找到23,354个Docker容器。这些实例位于中国，美国，德国，香港和法国。就Docker而言，亚马逊又是顶级主机，这些实例的主机分布范围更广。“

然后，Unit42进行了进一步的研究，以了解哪些服务正在暴露，并发现许多网站公开暴露数据库实例，揭示个人信息。

在Shodan搜索容器之后，研究人员随后寻求识别可能在容器内运行的各种数据库和数据库工具，包括MySQL，Kibana和Elastic - 找到一系列暴露个人信息的数据库。

特别是，其中一个不仅暴露，而且在没有任何形式的认证机制的情况下暴露，以帮助保护数据库中的数据。 

“默认配置对组织来说可能是一个重大的安全风险......错误的配置，例如使用默认容器名称和保留暴露给公众的默认服务端口使组织容易受到针对性的侦察。使用适当的网络策略或防火墙可以防止内部资源暴露给公共互联网，“Unit42总结道。 

“此外，投资云安全工具可以提醒企业在当前的云基础架构中承担风险。” 

它还为在云中的容器中运行数据库的组织提出了一系列建议： 

•     投资云安全平台或托管服务，专注于集装箱安全战略;

      通过使用防火墙控制或容器平台网络策略，将对容器上托管的服务的访问限制为内部网络或之前指定的人员。以下链接可以帮助安全访问容器：

         Docker - iptable配置

         Kubernetes - 网络策略

  
  

  

  
  

  •     为容器建立基本身份验证要求。Docker或Kubernetes建立基本身份验证实践：

           Docker - 令牌

           Kubernetes - 认证

    •     确定每个容器中存储或管理的数据类型，并使用适当的安全实践来保证这些数据类型的安全;

          您组织的合规政策将有助于规定所需的保护措施;

          将服务隔离到自己的容器。不要在单个容器上托管多个服务，这将提高容器本身的资源效率，并将有助于实施有效的安全策略。