Editörün notu: Kubernetes’in sunduğu güvenlik açıklarının türleri ve bunların nasıl ele alınacağı hakkında daha fazla bilgi için şu makalemizi okuyun: eşlik eden makale sınırda.
2014’teki ilk sürümünden bu yana Kubernetes (aka K8s), yazılım uygulamalarını yönetmek için standart açık kaynak konteyner aracı haline geldi. Kubernetes uygun maliyetlidir, otomatik ölçeklendirme sunar ve herhangi bir altyapı üzerinde çalışabilir. Faydaları neden BT liderlerinin %85’i Kubernetes’i bulutta yerel stratejiler için “son derece önemli” olarak değerlendirin. Bunun üzerinde, insanların %61’i bilgisayar uygulaması dağıtımlarını yönetmek için Kubernet’leri kullanın.
Ensemble’ın bilgi güvenliği sorumlusu Funso Richard, Dark Reading’e “ileri görüşlü kuruluşların, temel bir dijital dönüşüm stratejisi olarak ölçeklenebilir ve güvenilir uygulamalar geliştirmek için kapsayıcılı mikro hizmetlerden yararlanmanın önemini anladığını” ve Kubernetes’in bunu başarmak için kullanılan lider araç haline geldiğini söylüyor. strateji, diye ekliyor.
Bununla birlikte, Kubernetes ayrıca güvenlik güçlükleriyle birlikte gelir: Veri hırsızlığına, hesaplamalı güç hırsızlığına ve hizmet reddi (DoS) saldırılarına karşı hassastır. Kubernetes’in genel bileşenlerinden (kubelet’ler ve API kimlik doğrulaması gibi) geniş ölçüde yararlanılır. Ve tehdit aktörleri, Kubernetes’e yetkisiz giriş elde etmek için altyapı yanlış yapılandırmasını, yama uygulanmamış yazılım programlarını ve zayıf oturum açma kimlik bilgilerini hedefler. Güvenlik açıkları da yaygındır. Red Hat’e göre “2022 Kubernetes Durumu” güvenlik raporu, Kubernetes kullanıcılarının %93’ü son 12 ayda en az bir güvenlik olayı yaşadı.
DevOps ekipleri artan Kubernetes güvenlik aksilikleriyle boğuşmaya devam ederken, saldırganların bir adım önünde olmanın ve bulut yerel ortamlarını güvende tutmanın birkaç yolunu burada bulabilirsiniz.
Araçlarla Kubernet’lerin Güvenliğini Sağlama
Kubernetes’in güvenlik açığı verimliliğini etkiler. Örneğin, Red Hat’e göre, Kubernetes güvenliğiyle ilgili endişeler, geliştiricilerin 2022’de uygulama sunumlarını geciktirmesine neden oldu. Richard, Kubernetes’in uygulama geliştirme ve kapsayıcı düzenlemede çeşitli avantajlar sağlamasına rağmen, yetersiz güvenlik denetimlerinin açık kaynak aracını yanlış yapılandırma, ayrıcalık kötüye kullanımı, veri hırsızlığı, kimlik bilgilerinin tehlikeye atılması, kötüye kullanılan halka açık bileşenler ve API güvenlik açıkları gibi ciddi güvenlik sorunlarına maruz bıraktığını söylüyor. Bunları ele almak için Kubescape, Kube-bench, Kubeaudit, Kube-hunter ve Kyverno dahil olmak üzere birkaç Kubernetes güvenlik aracı ortaya çıktı.
Kubescape, risk analizi, güvenlik uyumluluğu, yanlış yapılandırma taraması, CI/CD güvenliği, RBAC görselleştiricisi ve güvenlik açıkları taraması gibi yeteneklerle Kubernetes kümelerini korumak için ARMO’nun açık kaynaklı bir güvenlik platformudur. Kubescape’i diğerlerinden ayıran şeylerden biri, Kubescape ile aynı hizaya gelen sağlam yetenekler kitaplığıdır. GÖNYE ATT&CK ve NSA-CISA çerçeveleri, diyor Richard.
Omdia’da siber güvenlik altyapısı kıdemli baş analisti Fernando Montenegro, “Kubernetes güvenlik tekliflerini – hem ticari hem de ticari olmayan teklifleri – takip ederken, Kubescape ile tam olarak aynı bileşenlere sahip başka bir teklifle karşılaşmadım” diyor.
Kubescape, doğrudan veya CI/CD entegrasyonları aracılığıyla kümeleri, YAML dosyalarını ve Helm grafiklerini güvenlik açıklarına karşı tarar. Karadağ, kod olarak altyapı (IaC) şablonlarını tarama fikrinin sektörde oldukça popüler olduğunu söylüyor. Çoğu IaC taraması, Amazon’un CloudFormation, HashiCorp’un Terraform’u ve diğerleri gibi bulut kaynakları için yapılır ve Kubernetes taraması daha özel bir kullanım örneğidir, diye ekliyor.
Piyasada Red Hat’in StackRox’u (2021’de satın alındı), Tenable’ın Terrascan’ı ve Palo Alto Networks’ün Checkov’u gibi Kubernetes’e benzer yetenekler sunan başka teklifler de var.
Kubernet’lerde En İyi Güvenlik Uygulamalarını Uygulama
Richard, siber güvenlik temellerine bağlılığın herhangi bir güvenlik çabasının temel taşı olmaya devam ettiğini belirtiyor. Kubescape şüphesiz güçlü bir Kubernetes güvenlik aracı olsa da, geliştiricilerin şu temel bilgileri izleyerek Kubernetes kümelerini etkili bir şekilde güvence altına alabileceğine inanıyor: uygun küme yapılandırması, bölme güvenlik standartları ve ilke uygulaması, ağ segmentasyonu, güvenlik açığı taraması, periyodik ilke incelemeleri ve güvenlik denetimleri. Richard, “Konteynerler en az ayrıcalıkla ve yalnızca gerekli hizmetlerle çalışmalı, kullanıcı erişimini yönetmek için rol tabanlı erişim denetimleri yürürlükte olmalıdır” diyor.
Karadağ, DevOps ve DevSecOps ekiplerinin izlemesi gereken birkaç Kubernetes en iyi uygulaması olduğunu söylese de, aşağıdaki uygulamaların öncelik listelerinde en üstte olması gerektiğini belirtiyor:
- Güvenliği erkenden düşünün: Uygun bir tehdit modellemesi üzerinde çalışmak için geliştiricilerinizle/mimarlarınızla işbirliği yapın.
- Uygulama yaşam döngüsü boyunca katıştırılmış güvenlikle çalışın: Güvenlik, geliştirme ortamlarında kod üzerinde çalışan bir geliştiriciye yerinde güvenlik tavsiyesi ve işlevsellik sağlamaktan, güvenlik testlerinin entegrasyon aşamalarının ayrılmaz bir parçası olduğundan emin olmaya ve ardından üretimdeki iş yüklerini izlemek için gerekli çalışma zamanı korumaları.
- Kubernetes sırlarını güvenle saklayın: Uygun ad alanı ayrımı, kullanımı gibi özellikleri uygulayın rol tabanlı erişim denetimi (RBAC).
Kubernetes’in benimsenme oranı arttıkça BT ekipleri, Kubescape ve StackRox gibi araçları kullanmanın yanı sıra kritik Kubernetes varlıklarının güvenliğini sağlamak için en iyi güvenlik uygulamalarını izleyerek güvenlik tuzaklarından kaçınabilir.