Yakın zamanda Seattle’da düzenlenen CloudNativeSecurityCon’da 800 DevSecOps uygulayıcısı, kapsayıcı görüntülerinin güvenliÄŸi ve sıfır güvenin yazılım tedarik zinciri üzerindeki etkisi dahil olmak üzere sayısız yazılım tedarik zinciri güvenlik sorununu ele almak için bir araya geldi.
Cloud Native Computing Foundation yönetici direktörü Priyanka Sharma açılış konuÅŸmasında, geçen yıl itibarıyla 7,1 milyon bulut yerel geliÅŸtiricisi olduÄŸunu ve 12 ay önceki 4,7 milyondan %51 daha fazla olduÄŸunu söyledi. Sharma, “Herkes bulutta yerel bir geliÅŸtirici haline geliyor” dedi.
Ancak Sharma, hızlı sürüm döngülerinin kuruluÅŸların güvenli yaÅŸam döngüsü geliÅŸtirme (SDLC) uygulamalarını takip etmemesine yol açabileceÄŸinden, bulutta yerel geliÅŸtirmeye yönelik bu hızlı geçiÅŸin bir endiÅŸe kaynağı olabileceÄŸi konusunda uyardı. Snyk’in 2022 State of Cloud Security raporu, kuruluÅŸların %77’sinin yetersiz eÄŸitim aldıklarını ve geliÅŸtiriciler ile güvenlik ekipleri arasında etkili iÅŸbirliÄŸinden yoksun olduklarını kabul ettiÄŸini ortaya koydu.
Sharma, “Genellikle farklı ülkelerde, zaman dilimlerinde çalışan, farklı araçlar ve politika çerçeveleri kullanan silolar halinde ekipler var” dedi. “Bulut yerel ortamında, pek çok baÅŸka varlıkla etkileÅŸim halindeyiz. Bir güvenlik eksikliÄŸi politikası ekleyin ve güvenlik ihlalinizin tarifi iÅŸte burada.”
Güvenlik politikalarının eksikliÄŸi, yanlış yapılandırmalar nedeniyle güvenlik açıklarında artışa neden oluyor. Sysdig 2023 Bulut-Yerel Güvenlik ve Kullanım Raporuna göre, üretimde çalışan konteyner görüntülerinin endiÅŸe verici bir ÅŸekilde %87’si kritik veya yüksek önem dereceli güvenlik açıklarına sahip. Bu oran bir yıl önce %75’ti. Yine de bu yama uygulanmamış kritik ve yüksek güvenlik açıklarının yalnızca %15’i, bir yamanın mevcut olduÄŸu çalışma zamanında kullanımda olan paketlerdedir.
Sysdig’in bulguları, binlerce müşterisinin milyarlarca kapsayıcıya ulaÅŸan bulut hesaplarından toplanan telemetriye dayanıyor. Konteynerlerdeki kritik veya yüksek önem düzeyine sahip güvenlik açıklarının yüksek yüzdesi, kuruluÅŸların modern bulut uygulamalarını devreye alma telaşının bir sonucudur. Ä°tme, daha çevik sürekli entegrasyon sürekli geliÅŸtirme (CI/CD) programlama modeline geçen bir yazılım geliÅŸtirici akışı yarattı.
Sysdig’in raporu, en fazla riski taşıyan paketlere odaklanmak için yalnızca kullanımda olan kritik ve son derece savunmasız paketleri izole etmek için filtreleme önerdi. Ayrıca, güvenlik açıklarının yalnızca %2’si kullanılabilir. Sysdig tehdit araÅŸtırmacısı Crystal Morin raporda, “Kullanımda olanlara bakıldığında, aslında çalışma zamanında kullanımda olan budur ve düzeltmenin mevcut olması ekiplerin öncelik vermesine yardımcı olacaktır.”
Sıfır Güven Uygulamasının 5 Unsuru
Sharma, IBM ve Ponemon Institute tarafından hazırlanan ve kuruluÅŸların %79’unun sıfır güven ortamına geçmediÄŸini gösteren geçen yılki Bir Veri Ä°hlalinin Maliyeti raporuna iÅŸaret etti. Sharma, “Bu gerçekten iyi deÄŸil,” dedi. “Çünkü ihlallerin neredeyse %20’si bir iÅŸ ortağındaki uzlaÅŸma nedeniyle meydana geliyor. Ve meydana gelen ihlallerin neredeyse yarısının bulut tabanlı olduÄŸunu unutmayın.”
Sıfır güven oluÅŸturmanın önündeki en önemli engel, izinlerin kontrol altında olmadığı ortamlardır. Sysdig raporuna göre, verilen izinlerin %90’ı kullanılmıyor, bu da kimlik bilgilerini çalmak için kolay bir yol oluÅŸturuyor. Rapora göre, “ekiplerin en az ayrıcalık eriÅŸimini zorlaması gerekiyor ve bu, gerçekte hangi izinlerin kullanımda olduÄŸunun anlaşılmasını gerektiriyor.”
Tetrate’in kurucu mühendisi ve Google’ın hizmet ağı projesi Istio’nun ilk mühendislerinden biri olan Zack Butcher, sıfır güven ortamı oluÅŸturmanın o kadar da karmaşık olmadığını söyledi. Kasap katılımcılara “Sıfır güvenin kendisi bir sır deÄŸildir” dedi. “Çok fazla FUD var [fear, uncertainty, and doubt] sıfır güvenin ne olduÄŸu etrafında. Temelde iki ÅŸey var: ‘Ya saldırgan zaten o ağın içindeyse?’
Kasap, sıfır güven sistemini oluşturacak beş politika kontrolü belirledi:
- Mesajların gizlice dinlenmesini önlemek için aktarım sırasında şifreleme
- Çalışma zamanında kimlik doğrulamayı etkinleştirmek için hizmet düzeyinde kimlik, ideal olarak bir kriptografik kimlik
- Hangi iş yüklerinin birbiriyle konuşabileceğini kontrol etmek için çalışma zamanı hizmet-hizmet yetkilendirmesi gerçekleştirebilmek için bu kimlikleri kullanma becerisi
- Oturumda son kullanıcının kimliğini doğrulama
- Kullanıcıların sistemdeki kaynaklar üzerinde gerçekleştirdiği eylemleri yetkilendiren bir model
Butcher, bunların yeni olmamasına raÄŸmen, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ile artık kimlik tabanlı bir segmentasyon standardı oluÅŸturma çabası olduÄŸunu kaydetti. “API aÄŸ geçitleri ve giriÅŸ aÄŸ geçitleri gibi ÅŸeylere bakarsanız, genellikle bu kontrolleri yaparız” dedi. “Ama bunları sadece ön kapıda deÄŸil, altyapımızın her bir noktasında yapıyor olmamız gerekiyor. Her iletiÅŸim kurduÄŸumuzda, en azından bu beÅŸ kontrolü uygulamamız gerekiyor.”
NIST Standardı Geliyor
Bir ara oturum sırasında, Butcher ve NIST bilgisayar bilimcisi Ramaswamy “Mouli” Chandramouli, beÅŸ kontrolü ve bunların sıfır güven mimarisine nasıl uyduÄŸunu açıkladı. Butcher, hizmet ağı gibi araçların bu kontrollerin çoÄŸunun uygulanmasına yardımcı olabileceÄŸini söyledi.
Sunum, NIST SP 800-207A: Çok Lokasyonlu Ortamlarda Yerel Bulut Uygulamalarında EriÅŸim Kontrolü için Sıfır Güven Mimarisi (ZTA) Modeli olarak sunulacak bir teklifin ana hatlarını oluÅŸturuyor. Butcher, “Bunu Haziran ayında bir ara kamuoyu incelemesi için çıkarmayı bekliyoruz” dedi.
Kasap, tedarik zinciri güvenliÄŸinin sıfır güven mimarisinin kritik bir bileÅŸeni olduÄŸunu söyledi. “Altyapımızda neyin çalıştığını envanterleyemez ve doÄŸrulayamazsak, saldırganların istismar etmesi için bir boÅŸluk bırakırız” dedi. “Bir felsefe olarak sıfır güven, bir saldırganın aÄŸda olması durumunda yapabileceklerini azaltmakla ilgilidir. Amaç, saldırılarını uzay ve zamanda sınırlamaktır ve bu altyapıda yürütülen uygulamaları kontrol etmek, alanı sınırlamanın önemli bir unsurudur. bir saldırganın birlikte çalışması gerekir.”