Azure Konteyner Güvenliği, yalnızca özel kayıtlardan alınan güvenilir görüntüleri kullanarak, ayrıcalıkları ve kullanıcı erişimini sınırlayarak ve tüm etkinlikleri sürekli olarak tarayıp izleyerek tüm kapsayıcı yaşam döngüsü boyunca güvenlik açığı taramaları gerçekleştirmekten oluşan bir bileşimdir.
Azure Konteyner Güvenliği
Microsoft Azure, şu anda piyasadaki en hızlı büyüyen ve ikinci en büyük bulut tabanlı uygulamadır. Fortune 500 şirketlerinin %95'i tarafından kullanılan Microsoft Azure , geliştiricilere her yerde uygulama oluşturma, yönetme ve dağıtma özgürlüğü sağlayan bir bulut bilişim platformudur. Sanal Makineler, Nesnelerin İnterneti ve Konteynerler dahil olmak üzere çok çeşitli hizmetler sunar.
Microsoft Azure konteynerları , geliştiricilere ve kuruluşlara, ihtiyaç duyulan iki yoğun altyapının yanı sıra bir bulut hizmetinde aradıkları çeviklik ve ölçeklenebilirliği sağlar. Ancak Azure üzerinde konteynerlar oluşturmak ne kadar faydalı olursa olsun, yerel tümleşik güvenlik sağlamazlar. Azure konteynerlarının güvenliğini sağlamak müşterinin sorumluluğundadır.
Göz önünde tutulması gereken hususlar
Azure konteynerları güvenli hale getirilirken göz önünde tutulması gereken bazı hususlar:
İmajlar
Tüm konteynerlarda olduğu gibi, Azure konteynarlarında da imajların güvenliğini sağlamak, atabileceğiniz en önemli güvenlik adımlarından biridir. Konteynerlar, depolama alanlarında saklanan imajlardan oluşturulur. Her imajın, ayrı ayrı güvenlik açıkları içerebilen ve muhtemelen tehlikeye atılabilecek birden çok yazılım katmanı vardır. Geliştirme ortamında yalnızca onaylanmış konteyner imajlarına izin vererek siber saldırganlar için saldırı yüzeyini büyük ölçüde azaltırsınız. Onaylanmamış konteyner imajlarının kullanımını izleyecek ve önleyecek açık süreçlere ve araçlara sahip olmak önemlidir.
Konteynerlerin çevreye akışını kontrol etmek için başka bir seçenek de imaj imzalama veya parmak izi almaktır. Bu, konteynerların ve konteyner imajlarının bütünlüğünü doğrulamanıza olanak tanıyan bir gözetim zinciri sağlayabilir. Herhangi bir imajı kayıt defterine göndermeden önce, kapsayıcı geliştirme tamamlandıktan sonra son bir değerlendirme olarak konteynerlar üzerinde bir güvenlik açığı taraması yapmak çok önemlidir.
Kimlik Bilgileri
En az ayrıcalık, Azure konteynerlarına da uygulanması gereken temel bir güvenlik en iyi uygulamasıdır. İmajlar veya çekirdekler aracılığıyla bir güvenlik açığından yararlanıldığında bu, saldırgana birkaç küme ve bölgeye erişim ve hatta potansiyel olarak ayrıcalıklar verir. Konteynerların, işin yapılması için gereken en düşük ayrıcalıklarla ve erişimle çalışmasını sağlamak, riske maruz kalmayı azaltır.
Bir çalışanın işleri devretmesi veya şirketten ayrılması durumunda, gereksiz ayrıcalıkları kaldırarak, konteynerlara karşı meydana gelebilecek saldırı yüzeyini azaltırsınız. Ayrıca konteyner çalışma zamanından gereksiz veya kullanılmayan ayrıcalıkları veya işlemleri kaldırarak olası saldırı yüzeyini azaltabilirsiniz.
Kayıt Defteri
Azure konteynerları, genel veya özel bir kayıt defterinde depolanan imajlardan oluşturulur. Genel kayıtlardan imajları almak daha kolay görünse de güvenliği garanti etmez. Yukarıda bahsedildiği gibi, kapsayıcı görüntüleri birden çok yazılım katmanına sahiptir ve her katmanın güvenlik açıkları olabilir.
Genel bir kayıt defterindeki imajlara, özel bir kayıt defterindeki imajlara göre kötü amaçlı yazılım eklenmiş olma olasılığı daha yüksektir. Özel kayıtlardaki imajların uygun şekilde taranması daha olasıdır ve daha az risk oluşturur. Özel kayıtlar yönetilir ve daha fazla yönetişim ve güvenlik sağlayan rol tabanlı erişim kontrolleri içerir. Özel konteyner imaj kayıtlarının bazı örnekleri arasında Azure Container Registry, Docker Trusted Registry veya Cloud Native Computing Foundation'dan açık kaynaklı Harbour projesi yer alır.
Kernel
Tüm bilgisayarlar donanım parçalarının üzerine inşa edilmiştir. İşletim sistemine gömülü bir yazılım parçası olan çekirdek, donanımın ve sistemin geri kalanının etkileşime girebilmesi için bir köprü görevi görür. Konteynerlar, sanal makinelerin aksine, paylaşılan bir çekirdeğe ek olarak hizmetler genelinde açık ağ trafiğine sahiptir. Ana bilgisayar işletim sistemi çekirdeğini paylaşma yeteneği, konteynerların en büyük avantajlarından biridir. Bununla birlikte, aynı zamanda büyük bir güvenlik endişesi kaynağıdır.
Çalışma zamanı sırasında çekirdek ve konteynerlar arasında çok fazla yalıtım yoktur. Bu, paylaşılan işletim sistemi çekirdeğinde bulunan bir güvenlik açığının daha sonra konteynerlardan yararlanmak veya bunlara erişim sağlamak için kullanılabileceği anlamına gelir. Saldırganlar, yalnızca bellek içi çekirdek verilerini değiştirerek herhangi bir kötü amaçlı kod enjekte etmeden işletim sisteminin çalışma davranışlarını değiştirebilir.
Azure konteynerlarını güvende tutma
Taşınabilirliği, ölçeklenebilirliği ve güvenilirliği ile çoğu işletmenin uygulamalarını çalıştırmak için Microsoft Azure konteynerlarına yönelmesi şaşırtıcı değildir. Konteyner yaşam döngüleri boyunca güvenlik açığı taramalarının tamamlanmasını ve tüm etkinliklerin izlenip günlüğe kaydedilmesini sağlayarak, Azure konteynerlarınızın güvenli olduğunu bilmek içinizi rahatlatır.
İlgili Araştırmalar
İlgili Makaleler