Son çalışmamıza göre, çalışan konteynerlerin yüzde yetmiş beşi yüksek veya kritik güvenlik açıklarına sahip. Daha da kötüsü, bu kusurların kullanılabilir yamaları vardır, bu nedenle düzeltilebilirler (ancak düzeltilmediler). Pek çok endüstri gazisi bu gibi istatistiklere şaşırmaz, ancak bulutta her şeyin daha iyi olması gerekmiyor muydu?
Her şey daha iyi olacak ve bazı insanlar için zaten öyle. En gelişmiş ve titiz ekipler, çalışan savunmasız kapsayıcıların sayısını %5 veya daha azına indirebilir. Bunu, yazılım teslimi ardışık düzenlerinde güvenlik testlerini sola kaydırarak ve geliştiriciler ve operatörler için akıcı, kolay iyileştirme iş akışları oluşturarak gerçekleştirirler. Parlak teknoloji etrafında iyi süreçler oluşturmak, her zaman tüm güvenlik mücadelelerinin en büyüğü olmuştur ve bulutta da farklı değildir.
Kötü Alışkanlıkları Buluta Taşımak
Buluta geçiş, iş yüklerini veya etraflarındaki süreçleri sihirli bir şekilde modernize etmez ve güvenlik de bir istisna değildir. Aslında, güvenlik genellikle ele almak istediğimiz en son şeydir çünkü diğer her şeyi yavaşlatma eğilimindedir.
Çok faktörlü kimlik doğrulama (MFA) örneğini ele alalım. Çoğumuz bunun, özellikle korunması gereken en önemli hesaplar için uygulamamız gereken bir şey olduğunu biliyoruz veya en azından duyduk. Ancak tüm banka hesaplarınızda MFA kurulu mu? Çoğumuz muhtemelen yapmıyoruz. Hiç zamanımız yok gibi görünüyor ve sizden her seferinde kimliğinizi doğrulamanızı isteyen ekstra istem can sıkıcı hale geliyor
Bulut, insanlar tarafından işletildiği için o kadar da farklı değil. Sysdig veri gösterileri kuruluşların %48’inin en ayrıcalıklı hesapları olan kök kullanıcıda MFA’nın etkinleştirilmediği. Ayrıca, kuruluşların %27’si, bulut en iyi uygulamalarının tavsiyelerine karşı bu hesabı idari görevler için kullanır ve İnternet Güvenliği Merkezi (CIS) kıyaslama yönergeleri.
Kimlik ve erişim yönetimi (IAM), en kritik bulut güvenlik kontrollerinden biri olduğundan, bunun etrafında yeni, bulutta yerel süreçler geliştirmeye çalışmalıyız. Bulut ekipleri, ek izinler olmadan belirli görevlere yönelik IAM rolleri oluşturmalı ve kullanıcılarını üstlenilen rollerin nasıl çalıştığı konusunda eğitmelidir.
Oh, ve lütfen MFA’yı etkinleştirin!
Güvenlik “Sola Kaydırma” Eksik
Karmaşık bir süreç akışını dönüştürmek zaman alır ve genellikle aşamalar halinde gerçekleşir. Veriler, görüntülerin %48’inin CI/CD ardışık düzeninde veya kapsayıcı kayıt defterinde, yani çalışma zamanına dağıtılmadan önce ilk kez güvenlik açıklarına karşı tarandığını gösteriyor.
Bir yandan bu, birçok şirketin başarılı bir şekilde “güvenliği sola kaydırdığı” anlamına geliyor. Öte yandan, görüntülerin kalan %52’sinin çalışma zamanında ilk kez taranması, potansiyel olarak kritik güvenlik açıklarının keşfedilmesini geciktiriyor. Bunun bir nedeni, zaman kazanmak için güvenlik değerlendirmesini hala geciktirme eğilimimiz olmasıdır. Başka bir olası açıklama, bir iş yükü alt kümesinin “sola kaydırma” yetkisine dahil edilmemesidir. Spesifik olarak, kuruluşun kendisi tarafından oluşturulan herhangi bir özel kod içermeyen birçok üçüncü taraf uygulaması bu kategoriye girer. Örneğin, Kubernetes bileşenleri, Web sunucuları ve yük dengeleyiciler, yazılım test aşamaları tamamlandıktan çok sonraya kadar yapılandırılamayabilir.
Her iki durumda da, “sola kayma” oluyor, ancak eksik. En gelişmiş ekipler, ana bilgisayarlar, kümeler, kapsayıcılar ve daha fazlası için dağıtım bildirimleri gibi altyapı bileşenleri de dahil olmak üzere tüm yapıtları güvenlik açısından test etmek için CI/CD ardışık düzenlerini kullanıyor.
Risk Kabulü Sola Kaydırılabilir ve Yapılmalıdır da
Riski kabul etmekten bahsettiğimizde, genellikle bunu son çare olarak düşünürüz: “Bu noktada yapabileceğim başka bir şey yok, bu yüzden bunu belgeliyorum ve en iyisini umuyorum.”
Ancak, risk kaynaklarımızı ne kadar erken keşfedersek, onlar için etkili azaltımlar oluşturmak için o kadar donanımlı oluruz. Kapsayıcılarımızın %75’ini yüksek veya kritik güvenlik açıklarıyla çalıştırmaya devam edebiliriz, ancak bu güvenlik açıklarıyla ilişkili riski aktif olarak değerlendirirsek ve bunu azaltmak için kontroller uygularsak, güvenlik durumumuz o kadar da kötü olmayabilir.
Yazılım tedarik zinciri güvenliği hakkında giderek daha fazla endişelendikçe, henüz oluşturmadığımız bir üçüncü taraf bileşeninde kaç tane çalışma zamanı güvenlik açığı olduğunu ve yazılımımızın kullanmadığını sormaya değer. Güvenlik açığı bulunan bağımlılıkları yazılım teslim sürecinde daha erken belirlemek, çok zaman kazandırabilir ve riske maruz kalmayı önemli ölçüde azaltabilir. Her kusuru düzeltmeyeceksiniz, ancak çoğu ek güvenlik kontrolleriyle yönetilebilir. En azından, kusurlar görünürlük için belgelenmelidir.
Umut Yok mu?
Bugün bulutta milyarlarca kapsayıcı çalışıyor. Bu sayı yalnızca artacak, saldırı yüzeyini ve potansiyel riskleri genişletecek. Gerçekten de, yeni araçlara sahip yeni bir ortam, yenilik için bir fırsat olabilir veya başka bir teknik borç dağının başlangıcı olabilir. Bulut, yeni başlamak ve bu sefer doğru olanı yapmak için bizim şansımız. İlk başta yavaşlamamız ve doğru yaptığımızdan emin olmak için bu bulutta yerel süreçleri oluşturmaya yatırım yapmamız gerekebilir.
