son zamanlarda CloudNativeSecurityCon Seattle’da 800 DevSecOps uygulayıcısı, konteyner görüntülerinin güvenliği ve sıfır güvenin yazılım tedarik zinciri üzerindeki etkisi dahil olmak üzere sayısız yazılım tedarik zinciri güvenlik sorununu ele almak için bir araya geldi.
Geçen yıl itibariyle, vardı 7,1 milyon bulut tabanlı geliştiriciCloud Native Computing Foundation yönetici direktörü Priyanka Sharma açılış konuşmasında, 12 ay önceki 4,7 milyondan %51 daha fazla olduğunu söyledi. Sharma, “Herkes bulutta yerel bir geliştirici haline geliyor” dedi.
Ancak Sharma, hızlı sürüm döngülerinin kuruluşların güvenli yaşam döngüsü geliştirme (SDLC) uygulamalarını takip etmemesine yol açabileceğinden, bulutta yerel geliştirmeye yönelik bu hızlı geçişin bir endişe kaynağı olabileceği konusunda uyardı. Snyk’in 2022 Bulut Güvenliği Durumu Rapor, kuruluşların %77’sinin yetersiz eğitim aldıklarını ve geliştiriciler ile güvenlik ekipleri arasında etkili işbirliğinden yoksun olduklarını kabul ettiğini ortaya koydu.
Sharma, “Genellikle farklı ülkelerde, zaman dilimlerinde çalışan, farklı araçlar ve politika çerçeveleri kullanan silolar halinde ekipler var” dedi. “Bulut yerel ortamında, pek çok başka varlıkla etkileşim halindeyiz. Bir güvenlik eksikliği politikası ekleyin ve güvenlik ihlalinizin tarifi işte burada.”
Güvenlik politikalarının eksikliği, yanlış yapılandırmalar nedeniyle güvenlik açıklarında artışa neden oluyor. Üretimde çalışan konteyner görüntülerinin endişe verici bir şekilde %87’si kritik veya yüksek önem dereceli güvenlik açıklarına sahip. Sysdig 2023 Bulutta Yerel Güvenlik ve Kullanım Raporu. Yine de bu yama uygulanmamış kritik ve yüksek güvenlik açıklarının yalnızca %15’i, bir yamanın mevcut olduğu çalışma zamanında kullanımda olan paketlerdedir.
Sysdig’in bulguları, binlerce müşterisinin milyarlarca kapsayıcıya ulaşan bulut hesaplarından toplanan telemetriye dayanıyor. Konteynerlerdeki kritik veya yüksek önem düzeyine sahip güvenlik açıklarının yüksek yüzdesi, kuruluşların modern bulut uygulamalarını devreye alma telaşının bir sonucudur. İtme, daha çevik sürekli entegrasyon sürekli geliştirme (CI/CD) programlama modeline geçen bir yazılım geliştirici akışı yarattı.
Sysdig’in raporu, en fazla riski taşıyan paketlere odaklanmak için yalnızca kullanımda olan kritik ve son derece savunmasız paketleri izole etmek için filtreleme önerdi. Ayrıca, güvenlik açıklarının yalnızca %2’si kullanılabilir. Sysdig tehdit araştırmacısı Crystal Morin raporda, “Kullanımda olanlara bakıldığında, aslında çalışma zamanında kullanımda olan budur ve düzeltmenin mevcut olması ekiplerin öncelik vermesine yardımcı olacaktır.”
Sıfır Güven Uygulamasının 5 Unsuru
Sharma geçen seneye işaret etti Veri İhlalinin Maliyeti Kuruluşların %79’unun sıfır güven ortamına geçmediğini gösteren IBM ve Ponemon Institute raporu. Sharma, “Bu gerçekten iyi değil,” dedi. “Çünkü ihlallerin neredeyse %20’si bir iş ortağındaki uzlaşma nedeniyle meydana geliyor. Ve meydana gelen ihlallerin neredeyse yarısının bulut tabanlı olduğunu unutmayın.”
Sıfır güven oluşturmanın önündeki en önemli engel, izinlerin kontrol altında olmadığı ortamlardır. Sysdig raporuna göre, verilen izinlerin %90’ı kullanılmıyor, bu da kimlik bilgilerini çalmak için kolay bir yol oluşturuyor. Rapora göre, “ekiplerin en az ayrıcalık erişimini zorlaması gerekiyor ve bu, gerçekte hangi izinlerin kullanımda olduğunun anlaşılmasını gerektiriyor.”
Tetrate’in kurucu mühendisi ve Google’ın hizmet ağı projesi Istio’nun ilk mühendislerinden biri olan Zack Butcher, sıfır güven ortamı oluşturmanın o kadar da karmaşık olmadığını söyledi. Kasap katılımcılara “Sıfır güvenin kendisi bir sır değildir” dedi. “Çok fazla FUD var [fear, uncertainty, and doubt] sıfır güvenin ne olduğu etrafında. Temelde iki şey var: ‘Ya saldırgan zaten o ağın içindeyse?’
Kasap, sıfır güven sistemini oluşturacak beş politika kontrolü belirledi:
- Mesajların gizlice dinlenmesini önlemek için aktarım sırasında şifreleme
- Çalışma zamanında kimlik doğrulamayı etkinleştirmek için hizmet düzeyinde kimlik, ideal olarak bir kriptografik kimlik
- Hangi iş yüklerinin birbiriyle konuşabileceğini kontrol etmek için çalışma zamanı hizmet-hizmet yetkilendirmesi gerçekleştirebilmek için bu kimlikleri kullanma becerisi
- Oturumda son kullanıcının kimliğini doğrulama
- Kullanıcıların sistemdeki kaynaklar üzerinde gerçekleştirdiği eylemleri yetkilendiren bir model
Butcher, bunların yeni olmamasına rağmen, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ile artık kimlik tabanlı bir segmentasyon standardı oluşturma çabası olduğunu kaydetti. “API ağ geçitleri ve giriş ağ geçitleri gibi şeylere bakarsanız, genellikle bu kontrolleri yaparız” dedi. “Ama bunları sadece ön kapıda değil, altyapımızın her bir noktasında yapıyor olmamız gerekiyor. Her iletişim kurduğumuzda, en azından bu beş kontrolü uygulamamız gerekiyor.”
NIST Standardı Geliyor
Bir ara oturum sırasında, Butcher ve NIST bilgisayar bilimcisi Ramaswamy “Mouli” Chandramouli, beş kontrolü ve bunların sıfır güven mimarisine nasıl uyduğunu açıkladı. Butcher, hizmet ağı gibi araçların bu kontrollerin çoğunun uygulanmasına yardımcı olabileceğini söyledi.
Sunum, NIST SP 800-207A: Çok Lokasyonlu Ortamlarda Bulut Yerel Uygulamalarında Erişim Kontrolü için Sıfır Güven Mimarisi (ZTA) Modeli olarak sunulacak olan bir teklifin taslağıdır. Butcher, “Bunu Haziran ayında bir ara kamuoyu incelemesi için çıkarmayı bekliyoruz” dedi.
Kasap, tedarik zinciri güvenliğinin sıfır güven mimarisinin kritik bir bileşeni olduğunu söyledi. “Altyapımızda neyin çalıştığını envanterleyemez ve doğrulayamazsak, saldırganların istismar etmesi için bir boşluk bırakırız” dedi. “Bir felsefe olarak sıfır güven, bir saldırganın ağda olması durumunda yapabileceklerini azaltmakla ilgilidir. Amaç, saldırılarını uzay ve zamanda sınırlamaktır ve bu altyapıda yürütülen uygulamaları kontrol etmek, alanı sınırlamanın önemli bir unsurudur. bir saldırganın birlikte çalışması gerekir.”