Kapsayıcı güvenliği

Bu makalede kapsayıcıların güvenliğini sağlamanın ve güvenlik açıklarıyla karşılaşmaktan kaçınmanın bazı yolları açıklanmaktadır. Kapsayıcılar , uygulamaları paketlemenin ve dağıtmanın etkili bir yoludur. Uygulamalar ve hizmetler bir ortamda ayrıldığından operasyonel ve güvenlik avantajları sağlarlar. Kapsayıcılar ayrıca soyutlamaları nedeniyle sistem genelindeki hataların etkilerini azaltmaya da yardımcı olur. Bu da çalışma süresini güvence altına alır ve uygulamaların veya hizmetlerin güvenliğini tehlikeye atabilecek saldırıları önler.

Kapsayıcılar genellikle konak işletim sisteminin üzerinde soyutlanmış bir katmanda çalışır ve soyutlama bazı ayrım engeli ve katmanlı bir savunma modeli uygulama fırsatı sunar.

Kapsayıcı işlem hattını, uygulamayı ve kapsayıcı dağıtım ortamını güvenli hale getirerek sürekli kapsayıcı güvenliği de ayarlayabilirsiniz. Kapsayıcı güvenliğini uygulama örnekleri bu konu başlığında açıklanmıştır.

Görüntülerin güvenliğini sağlama

Yetkisiz erişimi önlemek için görüntülerin güvenli ve güvenilir bir kayıt defterinde barındırıldığından emin olun. Görüntülerin güvenilen kök CA'sı olan bir TLS sertifikası olmalıdır ve kayıt defteri güçlü kimlik doğrulamasıyla Rol Tabanlı Access Control (RBAC) kullanmalıdır. Kapsayıcı derlemesi ve teslimi için CI/CD tasarlarken bir görüntü tarama çözümü eklemeniz gerekir. Görüntü tarama çözümü, Ortak Güvenlik Açıklarını ve Etkilenmeleri (CVE) belirlemeye yardımcı olur ve kötüye kullanılabilir görüntülerin düzeltme olmadan dağıtılmamasını sağlar.

Konak ortamını sağlamlaştırma

Kapsayıcı güvenliğinin önemli bir yönü, kapsayıcılarınızın üzerinde çalıştığı sistemlerin güvenliğini ve çalışma zamanı sırasında çalışma şekillerini sağlamlaştırma gereksinimidir. Kapsayıcı güvenliği, konağınız ve daemon'lar dahil olmak üzere yığının tamamına odaklanmalıdır. Konaktan kritik olmayan hizmetleri kaldırmalı ve uyumlu olmayan kapsayıcıları ortama dağıtmamalısınız. Bunu yaptığınızda konağa erişim yalnızca kapsayıcılar üzerinden gerçekleştirilebilir ve denetim kapsayıcı daemon'unun merkezi hale getirilerek konağı saldırı yüzeyinden kaldırır. Bu adımlar özellikle kapsayıcılarınıza erişmek için ara sunucuları kullandığınızda yararlıdır ve bu da kapsayıcı güvenlik denetimlerinizi yanlışlıkla atlayabilir.

Kapsayıcı kaynaklarını sınırlama

Bir kapsayıcının güvenliği aşıldığında, saldırganlar kötü amaçlı etkinlikler gerçekleştirmek için temel konak kaynaklarını kullanmaya çalışabilir. İhlallerin etkisini en aza indirmek için bellek ve CPU kullanım sınırları ayarlamak iyi bir uygulamadır.

Gizli dizileri düzgün bir şekilde güvenli hale

Gizli dizi, konak ile kapsayıcı arasında geçirilmesi gerekebilecek hassas bilgileri içeren bir nesnedir. Gizli dizilere örnek olarak parolalar, SSL/TLS sertifikaları, SSH özel anahtarları, belirteçler, bağlantı dizeleri ve düz metin olarak aktarılmaması veya şifrelenmemiş olarak depolanması gereken diğer veriler verilebilir. Tüm gizli dizileri görüntülerden uzak tutmalı ve bunları kapsayıcı düzenleme altyapısına veya bir dış gizli dizi yöneticisine bağlamanız gerekir.

Yalıtım alıştırması yapma

Yalıtım kullanın ve uygulamayı kapsayıcıda çalıştırmak için ayrıcalıklı veya kök kullanıcı kullanmayın. Kapsayıcıları ayrıcalıklı modda çalıştırmaktan kaçınmanız gerekir çünkü bunu yapmak, kapsayıcının güvenliğinin aşılması durumunda saldırganın ayrıcalıkları kolayca yükseltmesine olanak tanıyabilir. Kapsayıcıdaki kök kullanıcının UID'sini (Benzersiz Tanımlama Kodu) ve GID'yi (Grup Tanımlama Kodu) bilmek, bir saldırganın konak makinedeki kök tarafından yazılan dosyalara erişmesine ve bunları değiştirmesine izin verebilir. Ayrıca, bir uygulamanın yalnızca ihtiyaç duyduğu gizli dizilere erişimi olan en düşük ayrıcalıklar ilkesini kullanmak da gerekir. Uygulama işlemini çalıştırmak için bir uygulama kullanıcısı oluşturabilirsiniz.

Çalışma zamanı güvenlik izlemeyi dağıtma

Altyapınıza yönelik saldırılara karşı önlem aldıktan sonra bile tehlikeye girme olasılığı devam ettiğinden, kötü amaçlı etkinlikleri önlemek ve algılamak için uygulamanın davranışını sürekli izlemek ve günlüğe kaydetmek önemlidir. Prometheus gibi araçlar, altyapınızı izlemek için etkili bir yol sağlar.

Sonraki adımlar