BT karar vericilerini daha iyi stratejiler oluşturmaya ve yalnızca yeni ortam için en uygun olanı değiştirmeye, karmaşıklığı, insan hatası olasılığını ve maliyeti azaltacak şekilde varlıkları dönüştürmeye çağırıyor. Firment’e göre konteynerin yanlış yapılandırılması, mimari ve uygulama modernizasyonunu içermeyen geçişlerden kaynaklanan daha büyük sorunların bir belirtisidir.
İyi strateji daha az şeyin kaçırıldığı anlamına gelir
Açıkçası, ağ yapılandırmasını ve kapsayıcıları yönetmek, kapsayıcı ölçeklendirmesi için kaynak tahsislerini bulmaktan veya sürüklenmeyi önlerken durum ve kalıcılığın nasıl korunacağından, görüntülerin, özel ve genel kayıtların, izinlerin ve benzerlerinin güvenliğinin sağlanmasına dikkat etmekten zorlayıcı olabilir.
Beltramini, BT liderlerine, işletim modeli seçiminden (kod modülleri veya hizmet katalogları olarak altyapıdaki geliştirici self-servis veya merkezi bir platform ekibi aracılığıyla) seçimleri basamaklandırmasını ve organizasyonu buna göre yapılandırmasını öneriyor. Güvenlik ve geliştirme ekipleri de sistemdeki gecikmeleri azaltmak için yakın işbirliği yapmalıdır. Ayrıca, kabul kriterleri erken tanımlanmalı ve sistemlerin hayata geçmesini engelleyen mevzuata aykırılıklardan kaçınılmalıdır.
Beltramini, BT liderlerinin otomasyondan yararlanmasını öneriyor. şifreleme ve mümkün olduğunda paylaşılan kodun yazılması veya değiştirilmesiyle ilgilenen tüm departmanlarla yerel entegrasyonlar. Bu, süreç başına ayrıntılı bilgi, kapsayıcı ve bölme politikaları ve ayrıntılı çalışma zamanı yapılandırmaları ve kaynak muhasebesi anlamına gelir. Güvenlik profilleri sistem çağrıları, dosya sistemi erişimi, ikili dosyalar, kitaplıklar, yetenek kısıtlaması vb. etrafında özelleştirilmelidir.
Yığındaki bu derece karmaşıklığa sahip tüm temelleri kapsayacak sistematik bir yaklaşıma ihtiyaç vardır. Beltramini, örneğin yalnızca her bölmede, dikkat edilmesi gereken hususların görüntüleri, uygulamaları, işletim sistemlerini, kullanıcıları, yerleşik sırları ve daha fazlasını kapsadığını söylüyor.
Red Hat’in baş çözüm mimarı Chris Jenkins ayrıca konteynerlerin ve bunların orkestrasyonunun yanı sıra konteynerlerin içinde ne olduğuna da dikkat çekiyor. Birçok güvenlik arızasının güncelleme ve güncelleme gibi temel hususların ihmal edilmesinden kaynaklanabileceğini unutmayın. yamaing, özel anahtarlara karşı genel anahtarların kötü düşünülmüş kullanımından bahsetmiyorum bile.
Yapabildiğiniz zaman daha basit tutun
Jenkins, BT liderlerini mümkün olduğunca basit tutarak temiz başlamaya çağırıyor. “Bir şeyi doğru yaparak başlamak istiyorsun. Onlara bir ver [clean] Başlayabilecekleri ve acıyı en aza indirebilecekleri temel imajı oluşturuyoruz” diyor.
Jenkins, yazılım geliştiricilerini yalnızca uygulamayı çalıştırmak için gereken paketleri kullanmaya teşvik ediyor. Örneğin, hiç kullanılmayan 50.000 paket kurulursa, bunların çok sayıda potansiyel güvenlik açığını ortaya çıkarması muhtemeldir. Bunun yerine Jenkins’in yaklaşımı şu şekilde başlamaktır: Belirli bir görüntünün güvenlik durumunu veya sağlık endeksini anlamanın mümkün olduğu, uygulama geliştirme çalışmasının temel alınacağı boş sayfa.
“Her altı haftada bir temel görüntüler üretiyoruz” diyor. “Sonra tüm kodu kontrol etmek için kod analizi yapıyoruz. Geliştiriciler ayrıca bağımlılıklar diğer kütüphaneleri çağıracak kodun.”
Nihai değişmez malzeme listesi veya tarif, bu özel görsele eşit olmalı ve bu görsele göre doğrulanmalıdır. Herhangi bir şey değişirse, açıklama yanlış giderse veya anahtar eşleşmezse, o zaman onu konuşlandırmayın, diyor.
Daha küçük kuruluşlar bu seviyedeki risk yönetimini açıkça zorlayıcı bulabilirler. Her şeyin siber güvenlik açısından ele alınmasını sağlamak için, örneğin haftanın farklı günlerinde farklı görevler arasında geçiş yaparak tüm görevleri bölmek mümkün olabilir.
Özellikle açık kaynak alanında buna yardımcı olacak pek çok farklı araç mevcuttur.
Hizmet sağlayıcı Civo’nun baş teknoloji sorumlusu (CTO) Dinesh Majrekar, bazı araçların kuruluşlara yardımcı olabileceğini söylüyor ‘sola kay‘ Konteyner güvenliği konusunda. Oluşturma sırasında kapsayıcıları tarama ve bilinen sorunlar hakkında sürekli entegrasyon ve sürekli teslim (CI/CD) ardışık düzenlerine raporlama gibi işlevler sunarlar. Örnekler arasında ağ bağlantı noktalarının açık olup olmadığı, kitaplıkların nasıl tanımlandığı veya Java veya Node.js sürümünün güncel olup olmadığı yer alır.
Majrekar, geliştiricilere sürekli geri bildirim vermenin “gerçekten önemli” olduğunu söylüyor. BT karar vericilerinin bunu hata ayıklama gereklilikleriyle dengelemesi gerekse de, en az ayrıcalık ve izinleri, minimum kurulum ve bağımlılığı tercih etmenizi tavsiye ediyor.
Majrekar, “Her yerde hata yapabilirsiniz” diye ekliyor. “Kubernetes’i kullanarak değiştirebileceğiniz 100 farklı şey var. Şu anda ‘hayır’ olarak ayarlanmış, ‘evet’ demeniz gereken bir şeyi fark edemeyebilirsiniz ve bu da mutlaka kapsayıcılar değil, içinde çalıştırdığınız yönetilen Kubernetes ortamıdır.
“Örneğin, artık şifreyi değiştirmeyi ve kodunuzu üretime dağıtmayı aynı anda düzenlemeniz gerekiyor” diyor. “Tecrübenizi sırlar, depolama ve bunun gibi şeyler açısından da kullanmanız gerekiyor. Bu biraz eğitime geliyor ve bence özel güvenlik odaklı eğitim [such as certified Kubernetes security specialist (CKS)] ve/veya kitap okuyorum.”
Düzenli Pgiriş ve yapılandırma testleri, rol tabanlı erişim açıklarını ve ağ bölümlendirmesi veya sır yönetimi gibi eksik en iyi uygulamaları ortaya çıkarmada önemli olabilir; özellikle de potansiyel sorunların sürekli değişmesi nedeniyle, diyor.
Civo CEO’su Mark Boost, “Küçük şirketlerin maliyet nedeniyle daha fazla zar atması gerekebilir” diye ekliyor. “Bazen işleri yoluna koyabilir, onları dışarı itebilirsiniz ve siz onu sertleştirmeye fırsat bulamamış olsanız bile, farkına bile varmadan üretime geçecektir. Dolayısıyla oradaki tavsiye de, ona geri döndüğünüzden emin olmanızdır.
Kuruluşlar işleri kendileri için iki kez kontrol etmelidir. Bu sorumluluğu ve tüm gereklilikleri üstlendiklerini varsayarak, her şeyi yönetilen hizmet sağlayıcılara bırakmayın. güvenlik ele alınır.
Majrekar, “Konteynerleştirme son derece güçlü olabilir, ancak büyük güç büyük sorumluluk getirir” diye ekliyor.
Herkese açık saldırı yüzeylerini azaltın
Sysdig’deki siber güvenlik stratejisti Crystal Morin, “kayıtların yaklaşık %66’sının” hâlâ kamuya açık olduğunu, yani şirket içi, özel veya satıcı tarafından yönetilmediğini belirtiyor. Bunların genellikle “internetten bir şeyler alıp altyapınıza atmak” olduğunu söylüyor.
Güncellemeler halka açık görüntüye aktarılırken taramalar yapılıyor ve BT güvenlik ekibi bunun farkında olmayabilir. Bu, Morin’in BT güvenliğine ve geliştirici ekiplerinin ele alması gerektiğine inandığı bir sorundur
Sola kaydırın, sağa kalkan en iyi uygulama olmaya devam ediyor: Başlangıçta gelişmiş güvenlik sağlayın ve arka uçta korumaya devam edin. Olay müdahalesinin otomasyonu da dahil olmak üzere, zamanında uyarı ve müdahaleye yönelik gerçek zamanlı tehdit algılama ve politikalarla üretimdeki konteynerlerin güvenliğini sağlayın.
Otomasyon olmadan zamanın, kapasitenin veya yeteneğin yetersiz kalabileceğini belirtiyor.
“Bulut tabanlı güvenlik odaklı kuruluşlar artık güvenliğin bir kuruluşun sorunu olduğunun farkına varıyor. Morin, herkesin ne yaptığının ve nasıl yardımcı olabileceğinin farkında olması gerektiğini söylüyor.
Güvenliğin tüm kuruluş genelinde entegre edilmesi aynı zamanda tüm kullanıcılara ve sonuçta her müşteriye değer sağlar.
Morin, “İçeri girip başkalarıyla güvenlik hakkında konuşursam belki %40’ını anlayabilirler” diyor. “Sadece perde arkasındaki teknik inekler olarak değil, iş genelinde daha iyi işbirliği yapmamız, birlikte koordine olmamız gerekiyor. Sola kaydırın, geliştirmeyi daha güvenli hale getirin. Ve bu açıkçası çok daha büyük bir resim konteynerler.”