Konteyner güvenliği, konteynerdaki her şeyin amaçlandığı gibi çalıştığına dair güvence verecek güvenlik araçlarını ve ilkelerini uygulama işlemidir. Bu altyapıyı, yazılım tedarik zincirini, çalışma zamanını ve aradaki her şeyi korumayı içerir.
Bunu göz önünde bulundurarak, konteynerleri sabitleme işlemi süreklidir. Geliştirme sürecinize entegre edilmeli, manuel temas noktalarını kaldırmak için otomatikleştirilmeli ve altta yatan altyapının bakım ve işletimine genişletilmelidir. Bu derleme hattı kapsayıcısı görüntülerinizi ve çalışma zamanı ana bilgisayarını, platformu ve uygulama katmanlarını korumak anlamına gelir. Sürekli teslimat yaşam döngüsünün bir parçası olarak güvenliği uygulamak, işletmenizin sürekli artan bir saldırı yüzeyinde riski azaltacağı ve güvenlik açıklarını azaltacağı anlamına gelir.
Konteynerleri sabitlerken, ana endişeler:
- Konteyner ana bilgisayarının güvenliği
- Konteyner ağ trafiği
- Konteyner içindeki uygulamanızın güvenliği
- Başvurunuzdaki kötü niyetli davranışlar
- Konteyner yönetimi yığınınızı koruma
- Uygulamanızın temel katmanları
- Yapı boru hattının bütünlüğü
Siber güvenliğin amacı, inşa ettiğiniz her şeyin sürekli olarak amaçlandığı gibi çalışmasını sağlamaktır.
Uygulamanın Konteynerde Güvenli Hale Getirilmesi
Konteyner üretime geçtikten sonra, uygulamanız için verileri sürekli olarak işler, günlük dosyaları oluşturur, dosyaları önbelleğe alır vb. güvenlik denetimleri, bunların sıradan etkinlikler olmasını ve kötü amaçlı olmamasını sağlar. Konteynerdaki içerik üzerinde çalışan gerçek zamanlı kötü amaçlı yazılımdan koruma denetimleri başarı için kritik önem taşır.
IPS burada da sanal yama adı verilen bir kullanım modelinde rol oynar. Bir güvenlik açığı uzaktan ortaya çıkarsa, IPS altyapısı bu açıktan yararlanma girişimlerini algılayabilir ve uygulamanızı korumak için paketleri bırakabilir. Bu, acil durum düzeltmesini dışarı atmak yerine, konteynerin bir sonraki sürümünde temel nedeni gidermek için gereken zamanı satın alır.
Güvenlik açısından, konteynerlarınızı koordine etmeye yardımcı olan yönetim yığını genellikle göz ardı edilir. Konteyner dağıtımı konusunda ciddi olan herhangi bir kuruluş, sürecin yönetilmesine yardımcı olmak için kaçınılmaz olarak iki kritik altyapı ile sonuçlanacaktır: Amazon ECS ve Kubernetes gibi bir konteyner kayıt defteri (konteyner dağıtımını düzenlemeye yardımcı olmak için).
Bir konteyner kayıt defteri ve Kubernetes birleşimi, ortamınıza yeniden dağıtımdan önce ve sırasında konteynerleriniz için otomatik olarak bir dizi kalite ve güvenlik standardı uygulamanızı sağlar.
Kayıtlar, konteynerleri paylaşmayı basitleştirir ve ekiplerin birbirlerinin çalışmaları üzerine geliştirmelerine yardımcı olur. Ancak, her bir konteynerin geliştirme ve güvenlik taban çizgilerinizi karşıladığından emin olmak için otomatik bir tarayıcıya ihtiyacınız vardır. Her konteyneri bilinen güvenlik açıkları, kötü amaçlı yazılımlar ve tüm gizli sırlar için kayıt defterinde kullanıma sunulmadan önce taramak, aşağı akıştaki sorunların azaltılmasına yardımcı olur.
Ayrıca, kayıt defterinin kendisinin de iyi korunduğundan emin olmak istersiniz. Yoğun bir sistemde veya çok saygın bir bulut hizmetinde çalıştırılmalıdır. Hizmet senaryosunda bile, paylaşılan sorumluluk modelini anlamanız ve kayıt defterine erişmek için güçlü bir rol tabanlı yaklaşım uygulamanız gerekir.
Düzenleme tarafında, Kubernetes ortamınızda çalıştırılıp dağıtıldığında, ekiplerinizin ortamınızdan en iyi şekilde yararlanmasına yardımcı olan önemli sayıda avantaj sunar. Kubernetes ayrıca Pod (küme seviyesi kaynakları) ve ağ güvenliği politikaları gibi bir dizi operasyonel ve güvenlik kontrolünü uygulama olanağı sunarak risk toleransınızı karşılamak için çeşitli seçenekler uygulamanızı sağlar.
4. İnşa Boru Hattının Bütünlüğünü Sağlamak
Saldırganlar saldırılarını sürekli entegrasyon / sürekli teslimat (CI / CD) boru hattınızın önceki aşamalarına kaydırmaya başladı. Bir saldırgan derleme sunucunuzu, kod havuzunuzu veya geliştirici iş istasyonlarınızı başarıyla tehlikeye atarsa, ortamınızda önemli ölçüde daha uzun süre kalabilir. Güncel tutulan güçlü bir güvenlik kontrolleri setine ihtiyacınız vardır.
Kod deponuz ve dallanma stratejinizden başlayarak, konteyner havuzuna kadar uzanan, boru hattı boyunca güçlü bir erişim kontrol stratejisi uygulamak. En az ayrıcalık ilkesini uyguladığınızdan (yalnızca gerekli görevleri gerçekleştirmek için gereken kadar erişim sağlayarak) ve bu erişimi düzenli olarak denetlediğinizden emin olmanız gerekir.
5. İşleri Bir Araya Getirmek
Konteynerlarınızı güven altına almak için kapsamlı bir güvenlik yaklaşımı gerekir. Kuruluşunuzdaki diğer ekiplerin ihtiyaçlarını ele aldığınızdan ve yaklaşımınızın DevOps süreçlerinize uyacak şekilde otomatikleştirilebildiğinden emin olmalısınız. Böylece son tarihleri karşıladığınızdan ve uygulamaları korurken hızlı bir şekilde teslim ettiğinizden emin olun. Artık güvenlik sağlanmış olur ve iş akışınızı değiştirme talepleriyle son dakikaya bakar ve dışarıda görünemez. Başlangıçtan itibaren güvenilir güvenlik kontrolleri ve otomatik süreçler oluşturmak endişelerini giderir ve ekipler arasındaki boşluğu kapatmayı kolaylaştırır.
Kaynaklar:
Yorumlar
Yorum Gönder