Bu Help Net Security röportajında Edera CEO’su Emily Long, Kubernetes kümelerindeki en yaygın güvenlik açıklarını ve etkili azaltma stratejilerini tartışıyor.
Long, Kubernetes güvenliğini artırabilecek ve konteynerli ortamları daha iyi koruyabilecek yeni ortaya çıkan izolasyon teknolojileri hakkında öngörülerini paylaşıyor.
Günümüzde Kubernetes kümelerindeki en yaygın güvenlik açıkları nelerdir ve bunlar etkili bir şekilde nasıl azaltılabilir?
Kubernetes, on yıl önceki başlangıcından bu yana güvenlik konusunda önemli ilerleme kaydetti. Güvenlik, en yaygın olarak dağıtılan Kubernetes dağıtımlarında sonradan akla gelen bir düşünce değildir ve Amazon’un EKS’si, Google’ın GKE’si ve Microsoft’un Azure’u gibi yönetilen Kubernetes platformları, kontrol düzlemi için makul derecede güvenli varsayılanlar sağlar. Ancak bulut sağlayıcısının ve müşterinin güvenlik sorumluluklarını tanımlayan paylaşılan sorumluluk modeli, iş yükü ve çok kiracılı güvenlik sorumluluğunu hâlâ müşteriye yüklüyor.
Çoğu kuruluş, Kubernetes güvenlik yolculuğunun henüz ilk aşamalarındadır ve görünürlük ve izleme, güvenli varsayılanlara göre önceliklidir. Sonuç olarak kuruluşlar görünürlük araçlarına katmanlar ekliyor ve görünürlüğe odaklanan güvenlik tedarikçilerinin sayısı artmaya devam ediyor. Daha da kötüsü, bu güvenlik araçlarının görevi, saldırıları fiilen engellemeden, ihlaller meydana geldikten sonra pasif olarak izlemektir.
Bu durum, kuruluşlara konteyner görüntüsündeki güvenlik açıkları, güncel olmayan ve desteklenmeyen Kubernetes kümeleri ve en önemlisi, güvenliği ihlal edilmiş bir bölmeden kaynaklanan maruziyeti sınırlamak için konteyner izolasyonunun bulunmaması dahil olmak üzere ele alınması gereken önemli güvenlik açığı açıklarıyla karşı karşıya kalıyor.
İlk iki güvenlik açığının azaltılması büyük ölçüde, bilinen güvenlik açıklarının etkisini azaltmak için Kubernetes kümelerinizi ve konteyner görüntülerinizi güncel tutmanıza bağlıdır. Bilinen güvenlik açıkları güncel CVE içermeyen görüntülerle azaltılırken bile, konteynerler için gerçek izolasyonun olmaması, bilinmeyen veya şirket içi yazılıma özel güvenlik açıklarının kümenizin tamamını güvenilmez hale getirebileceği anlamına gelir.
Konteyner izolasyonu, yazılımınızı güncel tutmaktan fazlasını gerektirir; Dikkate alınması gereken noktalar arasında pod güvenliği uygulamalarının uygulanması veya bu yıl yeni bir teknoloji olarak tanıtılan yerleşik izolasyonun etkin olduğu bir konteyner çalışma zamanının kullanılması yer alıyor.
Geliştiriciler, özellikle ağ politikaları ve kaynak sınırlamaları dikkate alındığında Kubernetes pod’larının üretim iş yükleri için güvenliğinin sağlanmasını nasıl sağlayabilirler?
Üretim bölmelerinin güvenliğini sağlamak karmaşık bir konudur. Ağ politikası, çok önemli bir güvenlik unsuru olan bir podun gönderip alabileceği ağ trafiğini kısıtlar. Kaynak sınırları, “gürültülü komşu” bölmelerinin mevcut tüm kaynakları tüketmesini yasaklar. Ağları ve kaynakları yönetmek hayati öneme sahip olsa da Kubernetes’te üretim iş yüklerinin güvenliğini sağlamak yeterli değildir.
Kubernetes, bölme ayrıcalıklarını kısıtlayan korumalı alan yapılandırma seçenekleri katmanları sağlar. Her bir bölmenin yeteneklerinin kilitlenmesi için bu yapılandırmaların elle yapılması ve bakımının yapılması gerekir. Güvenlik ekipleri genellikle, özel araçlar ve gerçek ortamın kopyalanmış bir modelini gerektiren davranış analizi üzerinde çalışan özel kişilere sahiptir; bunların tümü, uygulamada geliştirme değişiklikleri meydana geldiğinde kırılgan olabilecek bir güvenlik politikası oluşturmak için kullanılır. Ayrıcalıkların kısıtlanması, aşırı ayrıcalıklı veya kötü amaçlı bir bölmenin kapsayıcıdan ana sisteme veya bitişik bölmelere kaçmasını azaltmayı amaçlar. Bunun aksine, gerçek pod güvenliği ve yalıtımı sağlayan yeni teknolojiler, karmaşık yapılandırma ve bakım ihtiyacını ortadan kaldırır.
Kubernetes Secrets yönetimi genellikle kritik bir güvenlik önlemi olarak vurgulanır. Kubernetes ortamında Gizli Anahtarları güvenli bir şekilde yönetmek için en iyi uygulamalar nelerdir?
Sırları korumanın altın standardı, Kubernetes’te gizli şifrelemeyi etkinleştirmek için Anahtar Yönetim Hizmeti’nin (KMS) kullanılmasıdır. Bu sağlam bir güvenlik uygulaması olsa da gerçek şu ki, “sırların”, hangi uygulamanın onlara ihtiyaç duyduğunun hafızasında düz metin olarak var olması gerekir; burada (neredeyse) her zaman aynı düğümdeki başka bir işlem tarafından yeterli kararlılıkla çalınabilirler.
Üretim iş yüklerinde tartıştığımız aynı pod izolasyonu, Kubernetes sırlarını korumak için de çok önemlidir. Aynı düğümdeki iş yükleri arasında düz metin belleği paylaşmayan izolasyon teknolojisi kalıcılığa neden olmaz ve veritabanı parolalarının, özel anahtarların veya hizmet hesabı kimlik bilgilerinin çalınmasını önleyebilir.
Kuruluşlar Kubernetes güvenlik politikalarını gelişen düzenleyici gereksinimlerle nasıl uyumlu tutmalıdır?
Bir bulut sağlayıcısından yönetilen bir Kubernetes teklifi çalıştırıyorsanız CIS kıyaslamaları ve OWASP uyumluluğu gibi çoğu uyumluluk yapılandırmasını bu sağlayıcı yönetecektir. Kubernetes kümelerinizi çalıştırıyorsanız bu çerçeveleri taramak çok önemlidir.
Çoğu uyumluluk çerçevesi kapsamında olmasa da, bir Pod Güvenlik Standartları (PSS) Temel Politikasına sahip olmak da iyi bir fikirdir.
Kubernetes güvenliğindeki son yeniliklere baktığınızda, konteynerli ortamların korunmasının geleceğini hangi teknolojilerin veya yaklaşımların şekillendireceğine inanıyorsunuz?
Güvenlik uygulayıcılarının altyapılarında kullanmasını kolaylaştıran, tasarımı itibariyle güvenli kubernetes ürünlerine odaklanmak, konteynerli ortamların geleceğini şekillendirecek. Günümüzde noktasal çözümler aslında ihlalleri önlemeye değil, izlemeye odaklanıyor.
Konteyner düzeyinde izolasyon sunmak için tip 1 hipervizör kullanmak gibi yeni teknolojiler, şirketlerin Kubernetes’in orijinal vaadini gerçekleştirmesine olanak tanır. Konteynerleri Linux ad alanlarında çalıştırmak yerine, konteynerlere sanal makine konuğu gibi davranılır. Bu yaklaşımın yeni yanı, konteynerler arasında paylaşılan bir çekirdek durumunun bulunmaması ve bellek açısından güvenli bir Rust kontrol düzleminin iş yüklerini daha da güvence altına almasıdır. Bu teknolojinin oluşturulma şekli nedeniyle, kullanıcıların konteynerlerini çalıştırdığı her yerde (genel bulut, özel bulut ve şirket içi) kullanılabilir ve sanallaştırma uzantıları veya özel altyapı gerektirmez. Güvenlik duruşunun basitliği ve gücü, bu yaklaşımı bu kadar ilgi çekici kılan şeydir.
Bu izolasyon teknolojisi, üretim konteynerleri için güvenliğin geleceğini şekillendirecek.