DevOps ekipleri, güvenlik endişelerinin ve süreç sorunlarının CI/CD operasyonlarını nasıl durdurabileceğine aşinadır. DevOps işlem hatlarında ekip üyeleri ve daha geniş organizasyon arasında yanlış iletişime yol açan operasyonel engeller çok yaygındır. DevOps ekiplerinin karşılaştığı önde gelen operasyonel sorunlardan biri izin sorunlarıdır.
İzin sorunları, CI/CD ardışık düzenlerini sorunsuz hale getirmek için görünüşte küçük, ancak önemli bir engeldir. Bunları ele almazsanız, sonuç, kalkınma ve organizasyonel hedefler arasında uyum eksikliğidir.
Bu süreçleri nasıl kolaylaştıracağınız, daha geniş CI/CD çerçevesi içinde güvenlik entegrasyonunu nasıl artıracağınız ve sağlam güvenlik duruşlarını nasıl sürdüreceğiniz aşağıda açıklanmıştır.
İşlem Hattı Araçlarını İnceleyin
DevOps döngüsü, farklı erişim gereksinimlerine ve izinlerine sahip birkaç araç içerir. Gizli bilgi yönetim platformu Akeyless’in geliştirici ilişkileri başkanı Jeremy Hess, buna “sırların yayılması” diyor.
Hess, “Sırların yayılması ve ademi merkeziyetçiliğin birleşimi, bir kabus değilse bile operasyonel bir yük yaratıyor” diyor. “Hem bulut tabanlı bir ortamda hem de klasik BT altyapısında faaliyet gösteren kuruluşlar için, kendi sırlarının farklı araçlar ve bulutta yerel çözümlerle yönetilmesi nedeniyle bir çoğaltma sorunu oluşuyor.”
Bu araçların, kullanıcı kimlik bilgilerini ve izinlerini kötü niyetli aktörlere ifşa etme riski de vardır. Örneğin, Jenkins gibi yapılandırma araçları, erişim ve yapı dağıtımını belirlemek için eklentileri kullanır. Diğer ardışık düzen araçlarıyla iletişim sayesinde, yapılandırma ayrıntılarında kimlik bilgileri bulunabilir.
Geliştirici parolaları ön uçta görünmez ancak sistemden erişilebilir. “Yapılandır” izinlerine sahip herhangi bir kullanıcı bir kimlik bilgisi talep edebilir ve bunları aracılara enjekte edebilir. Sonuç olarak AWS anahtarları, git kimlik bilgileri ve parolalar risk altındadır.
Ne yapalım:
- İlk adım, sabit kodlanmış sırları CI/CD araç dosyalarından silmektir.
- Gizli dizileri birden çok araç yapılandırma dosyası arasında dağıtmak, geliştirici ve mühendis erişimini kolaylaştırırken saldırı olasılığını da azaltır.
- Parola yöneticileri de iyi bir seçimdir, ancak bir çözümü uygulamadan önce güvenlik açısından doğrulayın.
En Az Ayrıcalıklı Erişim Uygulayın
Üyenin rolü veya iş işlevi ne olursa olsun çoğunluğa kapsamlı erişim atamak zorunda kaldıkları için erişim sorunları genellikle DevOps ekipleri arasında büyük bir hayal kırıklığı yaratır. Bu durum hızlı gelişmeyi teşvik ederken, büyük güvenlik sorunları yaratmaktadır.
Güvenliği CI/CD ihtiyaçları ile dengelemek doğru bir iştir. İşte burada en az ayrıcalık ilkesi devreye girer. Ekip üyeleri, sırlara bilmesi gerekenler temelinde erişir. Bu ilkenin uygulamalardan sistemlere ve bağlı cihazlara kadar her şey için geçerli olduğunu unutmayın.
Çoğu ekip bu ilkeyi uygulamaya koyarken, süreçlerini olduğu gibi bırakır. Erişim düzeyi değil, erişim denetimlerinin olmaması DevOps hayal kırıklığı yaratır.
Ne yapalım:
- CISO’lar, sorunları hızla azaltmak için erişimi gözden geçirirken düzenli olarak DevOps ekiplerini dahil etmelidir. Her teslimat ekibine bir güvenlik rolü yerleştirmek, erişimle ilgili riskleri hızla azaltacaktır. Güvenlik ekibi üyesi, risk tabanlı erişim gereksinimlerine ilişkin içgörülere sahip olacak ve istekleri hızla onaylayabilir veya reddedebilir.
- Bir erişim yönetimi deposu oluşturmak, rol tabanlı erişimle ilgili her türlü karışıklığı da ortadan kaldıracaktır. Ayrıca, depodaki zamana dayalı ve göreve dayalı erişim izinlerini kaydedin. Sonuç olarak, her DevOps ekip üyesi, projeler başlamadan önce erişim yollarını anlayacaktır. Geri bildirim sunmaları ve hassas sırlara tek seferlik erişim istemeleri için zaman tanır.
- Rol tabanlı erişim atarken sistemlerinizdeki segmentasyon kurallarını gözden geçirin. Çoğu zaman, bu kuralların teslimat zaman çizelgelerine bağlı olarak değişmesi gerekecektir. Tüm paydaşları bu tartışmalara dahil etmek iyi bir uygulamadır ve yolda hayal kırıklığını önler.
Bir kerelik parolalar (OTP’ler) ve diğer kimlik doğrulama faktörlerini uygulamak, gizli dizilere kullanıcı erişimini doğrularken de iyi bir fikirdir.
ÖSS Projelerini İnceleyin
Açık kaynak projeleri, endüstrinin büyümesi için gereklidir ancak erişim yanlış yönetilirse güvenlik riskleri oluşturabilir. CI platformu CircleCI’nin geliştirici savunucusu Zan Markan, sorunu uygun bir şekilde özetliyor.
Markan, “Genellikle popüler bir OSS projesini başlatan ve sahibi olan şirket, temel katkıda bulunanları istihdam etmeye devam ediyor,” diye yazıyor. “Muhtemelen onlara bu şirketin parçası olmayan diğer düzenli katkıda bulunanlar ve bakımcılar katılacak. Ve sonra herkes var – ara sıra bir düzeltmeye veya bir özelliğe katkıda bulunabilecek herkes.”
Kullanıcı erişimi arttıkça, güvenlik endişeleri de katlanarak artıyor. Katı kullanıcı tabanlı erişimi zorlamak gerçekçi değildir ve bir OSS projesi için zararlıdır.
Ne yapalım:
- CISO’lar veya diğer güvenlik odaklı yöneticiler, çekme istekleri için derlemeler sırasında hassas sırların aktarılıp aktarılmadığını incelemelidir. Kimlerin istekte bulunabileceğini ve bunları gözden geçiren rollerin izlenmesi, iyi bir güvenlik düzeyi sağlayacaktır.
- İnsan dışı erişim boru hatlarının gerektirdiği derece göz önüne alındığında, makine kimliğinin oluşturulması da kritik öneme sahiptir. Kimlik doğrulama, istemci çalışma zamanı kapsayıcı özniteliklerinin geçerli kapsayıcının özellikleriyle eşleşip eşleşmediğinin doğrulanmasına dayalı olabilir. Kimliği doğrulandıktan sonra, rol tabanlı erişim, gizli dizilere erişimi sınırlayarak devralabilir.
- Kapsayıcıları ve sanal makineleri (VM’ler) kullanıldıktan sonra yok etmek de iyi bir politikadır.
DevOps Operasyonlarını Kolaylaştırmak Birinci Önceliktir
DevOps, her kuruluşun başarısı için kritik öneme sahiptir. Erişim ve izinle ilgili sorunlar, kolayca kaçınılabilen yaygın durumlardır. Erişimi gözden geçirmek ve teslimat ile operasyonel ihtiyaçlar arasında bir denge kurmak, rekabet avantajını sürdürmek için çok önemlidir.
