Bulut güvenliği sizin için önemlidir ancak bu, güvenliği işlevsellik karşılığında takas etmeye istekli olduğunuz anlamına gelmez. Sizin için çalışacak güvenliğe ihtiyacınız var. Kullandığınız bulut güvenliği kaynakları ne olursa olsun, ortamlarınızı güçlendirmek için kullandığınız hizmetlerle uyumlu olmalıdır.
Anladım. Bu nedenle İnternet Güvenliği Merkezi’nin (CIS) CIS Sertleştirilmiş Görüntülerini iki popüler bulut hizmetiyle test ettiğini duyurmaktan mutluluk duyuyorum: Azure Update Manager ve Amazon EC2 Image Builder. Bu blogda neden test etmeye başladığımızı açıklayacağım, test ettiğimiz sorunlardan bazı örnekleri sunacağım ve testlerimizin geleceğini kısaca tartışacağım.
SİZE yardımcı olmak için temel konuların karşılandığından emin olmak
CIS Sağlamlaştırılmış Görüntüler, CIS Karşılaştırmalarının güvenlik önerilerine göre önceden güçlendirilmiş sanal makine görüntüleridir. Her Sertleştirilmiş Görüntü bir CIS-CAT Pro değerlendirme raporuyla birlikte gelir. Bu, görüntünün ilgili CIS Karşılaştırmasına ne kadar iyi uyduğunu görmenizi sağlar, böylece işletim sistemlerinizin bulutta güvenliğinin sağlanması konusunda bilinçli bir karar verebilirsiniz.
CIS Güçlendirilmiş Görüntülerin bulutta güvenliği nasıl sağladığı hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdaki videomuza göz atın.
İki ana nedenden dolayı CIS Sertleştirilmiş Görüntülerimiz için uyumluluk testleri yapmaya karar verdik. Öncelikle seçtiğimiz bulut hizmetleri, sanal görüntüleri kullanımınızla ilgili temel işlevleri yerine getirir. Azure Update Manager, Azure sanal makineleriniz için güncellemeleri izlemenizi, yönetmenizi, planlamanızı ve uygulamanızı sağlarken EC2 Image Builder, Amazon Web Services’te (AWS) altın bir görüntü oluşturma sürecini otomatikleştirmenize yardımcı olur.
Bu da ikinci nedene yol açıyor: Sizin gibi müşteriler, CIS’in, CIS Sertleştirilmiş Görüntülerin bu hizmetlerle uyumluluğunu incelemesini talep etti. Azure Update Manager ve EC2 Image Builder ile ilgili özel olarak destek biletleri aracılığıyla taleplerinizi gördük ve yardımcı olmak istiyoruz.
Testler yoluyla çözdüğümüz iki yaygın istek
EC2 Image Builder ve Azure Update Manager hakkındaki geri bildirimlerinizi dinledik. Testler sonucunda aşağıdaki iki sorunun temel nedenini belirledik.
EC2 Image Builder: Noexec için güçlendirme önerileri
EC2 Image Builder ile entegrasyon için CIS Red Hat Enterprise Linux 8 Benchmark Düzey 2 ve CIS Red Hat Enterprise Linux 8 STIG Benchmark için CIS Sertleştirilmiş Görüntülerini ayarladık. EC2 Image Builder, özel görüntü oluşturma hattında AWS Systems Manager Automation’ı kullanır. AWS Systems Manager, AWS SSM Agent’ın yüklenmesini gerektirir. AWS SSM Agent, var ve var/tmp içindeki dizinlere komut dosyalarını yükler ve bu dizinlerden yürütür. Düzgün yürütmeyi yetkilendirmek için, bu iki CIS Sertleştirilmiş Görüntüde noexec seçeneğinin var ve var/tmp üzerinde ayarlanmamasını sağladık.
Bu öneriyi CIS Karşılaştırması ile yapılandırmak için lütfen CIS Karşılaştırması PDF dosyasındaki düzeltme talimatlarını izleyin. Ayrıca Bilgi Bankası makalemize göz atarak bu sorun hakkında daha fazla bilgi edinebilirsiniz.
Azure Update Manager: Kabuk Zaman Aşımı için sağlamlaştırma önerisi
Azure Update Manager, güncellemeleri yürütmek, örnek bilgilerini toplamak ve bilgileri omsagent’tan Azure’a geri göndermek için bir kabuk gerektirir. Bunu CIS Linux Sertleştirilmiş Görüntülere uyarlamak için öneri amacıyla sağlamlaştırmayı kaldırdık, “Varsayılan kullanıcı kabuğu zaman aşımının 900 saniye veya daha az olduğundan emin olun.”
Bu öneriyi, CIS Karşılaştırma PDF’sindeki düzeltme talimatlarını izleyerek manuel olarak yapılandırabilirsiniz; bu, Azure Update Manager’ın CIS Linux Güçlendirilmiş Görüntüsü ile işlevselliğini engelleyecektir. Ayrıca daha fazla bilgi için Bilgi Bankası makalemizi inceleyebilirsiniz.
Gelecekteki uyumluluk testlerine yönelik planlarımız
İleride güvenlik ve işlevsellik arasında denge kurmanıza yardımcı olmak için çok talep edilen hizmet ve uygulamalardan bazılarını test etmeye devam edeceğiz. Her zaman değişiklik yapamayız ya da her şeyi test edemeyiz; Çatışmaya neden olan bir öneri önemli bir güvenlik değeri getiriyorsa yapılandırmayı değiştirmeyiz. Ancak yine de sorunun nerede olduğunu belirlememize yardımcı olabilir; böylece sorunu belgeleyebilir, size iletebilir ve ortamın etkisini açıklayabiliriz.
Bunu göz önünde bulundurarak, CIS Sertleştirilmiş Görüntülerle birlikte kullandığınız ve uyumluluk sorunları olabilecek hizmetler hakkında bize geri bildirimde bulunmanızı öneririz. Bu tamamen kullanıcı tarafından oluşturulan bir çalışmadır. Dinlemeye ve yardım etmeye hazırız.
Bulut ortamlarınızda güvenliği ve işlevselliği dengelemeye hazır mısınız?
CIS ile Güçlendirilmiş Bir Görüntüyü Döndürün