Kubernetes ile Donanım, API Sunucusu ve Kapsayıcı Riskleri

28. Mart 2022
| Yorum yok
Kubernetes ile Donanım, API Sunucusu ve Kapsayıcı Riskleri

Gönderiyi paylaş

Kubernet'ler son derece popülerdir, ancak uygun güvenlik önlemleri alınmadığı takdirde riskleri de beraberinde getirir. Güvenlik uzmanı CyberArk, üç özel riski adlandırıyor ve Kubernetes'teki donanım, API sunucusu ve kapsayıcı risklerini kontrol altına almak için hangi savunma önlemlerinin alınması gerektiğini gösteriyor.

Günümüzde yazılım geliştirmede hız ve çeviklik çok önemlidir. Konteyner teknolojisi giderek daha fazla kullanılıyor. Kubernetes, kapsayıcılı iş yüklerini ve hizmetleri yönetmek için fiili standart olarak ortaya çıkmıştır.

Kubernet'lerin güvenlik yönleri

Güvenlik açısından, Kubernetes orkestrasyon platformu, geliştirme sürecinin başlarında ele alınması gereken, kimlikle ilgili belirli zorlukları beraberinde getirir. Aksi takdirde, kapsayıcılı ortamlar BT güvenliği için risk oluşturabilir. Kubernet'lerde, kuruluşların gerçek bir DevSecOps yaklaşımının parçası olarak odaklanması gereken potansiyel olarak savunmasız üç ana alan vardır.

Kubernetes Riski: Donanım

İster şirket içinde ister üçüncü taraf tarafından yönetilen bir bulutta Kubernetes çalıştırıyor olun, yine de bir donanım platformu gereklidir. Saldırgan, Kubernetes çalıştıran sanal makineye erişip kök ayrıcalıkları elde ettikten sonra, Kubernetes kümelerine de saldırabilir.

Bunu önlemek için aşağıdaki en iyi güvenlik uygulamaları vardır:

  • En az ayrıcalık ilkesini uygulamak, hem Kubernet'lerin hem de kapsayıcıların altında yatan donanımı korumak için çok önemlidir. Saldırganların kök erişim elde etmesini zorlaştırmak için sanal makineler en düşük düzeyde ayrıcalıklarla (yani yalnızca işlevsel nedenlerle kesinlikle gerekli olanlarla) konuşlandırılmalıdır.
  • Kimlik bilgilerinin düzenli olarak döndürülmesi gerekir ve otomatikleştirilmiş bir kasa çözümü kullanmak, ek yükü artırmadan korumayı daha da artırmak mantıklıdır.

Kubernetes riski: Kubernetes API Sunucusu

Fiziksel makinelerin yanı sıra Kubernetes kontrol düzleminin de emniyete alınması gerekiyor. Ön uç görevi gören ve küme içinde kullanıcı etkileşimini kolaylaştıran Kubernetes API sunucusu da dahil olmak üzere bir kümede çalışan tüm kapsayıcılara erişim sağlar.

API sunucusuna yapılan bir saldırının büyük bir etkisi olabilir. Bir saldırganın erişim haklarını ve ayrıcalıklarını yükseltmek için çalınan tek bir sır veya kimlik bilgisi bile kullanılabilir. Başlangıçta küçük olan bir güvenlik açığı hızla ağ çapında bir soruna dönüşebilir.

En iyi güvenlik uygulamaları şunları içerir:

  • Kuruluşlar, riski azaltmak için öncelikle uç noktaları kimlik bilgileri hırsızlığına ve kötü amaçlı yazılım tehditlerine karşı güvence altına almalıdır. Kubernet'lerde yönetici haklarına sahip kullanıcılar tarafından kullanılan yerel bilgisayarlar özellikle önemlidir.
  • Kubernetes API sunucularına erişim için çok faktörlü kimlik doğrulama (MFA) çok önemlidir. Örneğin, çalınan bir kimlik bilgisi Kubernetes erişimi için kullanılamaz.
  • Kullanıcıların kimlikleri Kubernetes'te doğrulandıktan sonra, küme içindeki tüm kaynaklara erişebilirler. Bu nedenle yetkilendirmelerin yönetimi çok önemlidir. Rol tabanlı erişim kontrolü ile bir şirket, kullanıcıların yalnızca gerçekten ihtiyaç duydukları erişim haklarına sahip olmasını sağlayabilir.
  • Bölmelerin kimliğinin doğrulanmasına yardımcı olmak için bir küme kurulduğunda otomatik olarak oluşturulan Kubernetes hizmet hesaplarında da en az ayrıcalık uygulanmalıdır. Artık ihtiyaç duymayanların erişim fırsatlarını ortadan kaldırmak için sırları düzenli olarak değiştirmek de aynı derecede önemlidir.

Kubernetes Riski: Konteynerler

Bölmeler ve kapsayıcılar, bir Kubernetes kümesinin yapı taşlarıdır ve uygulamayı çalıştırmak için gereken bilgileri içerir. Bu kapsayıcı ekosisteminde ve iş akışında çeşitli potansiyel güvenlik açıkları vardır. Bunlar, örneğin, kapsayıcı API'ye veya kapsayıcı ana bilgisayara ve korumasız görüntü kayıt defterlerine güvenli olmayan erişimi içerir.

Kapsayıcı güvenliği için aşağıdaki en iyi uygulamalar önerilir:

  • Sırlar, koda veya bir kapsayıcı görüntüsüne gömülmemelidir. Aksi takdirde, örneğin kaynak koduna erişimi olan herkesin kod havuzlarındaki bilgilere de erişimi vardır.
  • Rol tabanlı erişim kontrolü, belirli bir konteyner içindeki işlemlere gizli erişimin kısıtlanması ve artık gerekli olmayan sırların silinmesi ile güvenlik riskleri önemli ölçüde en aza indirilir.
  • Döndürme veya devre dışı bırakma dahil olmak üzere gizli kullanım günlüğe kaydedilmelidir. Gizli erişim verilerinin otomatik olarak yönetilmesini ve korunmasını sağlayan merkezi bir sır yönetimi çözümü de avantajlıdır.

CyberArk DACH Bölge Başkan Yardımcısı Michael Kleist, "Bir şirket, bu en iyi uygulamaları benimseyerek tüm Kubernetes ortamında güvenliği önemli ölçüde artırabilir" dedi. "Ayrıca geliştiricileri self servis işlevlerle günlük işlerinde, örneğin kod tarama konusunda destekleme olasılığı da var. Bu, Kubernetes güvenliğini hızlı ve kolay bir şekilde artırmaya daha fazla katkıda bulunmalarını sağlıyor."

Daha fazlası CyberArk.com'da

 

CyberArk Hakkında

CyberArk, kimlik güvenliğinde dünya lideridir. Temel bir bileşen olarak Privileged Access Management ile CyberArk, iş uygulamalarında, dağıtılmış çalışma ortamlarında, hibrit bulut iş yüklerinde ve DevOps yaşam döngülerinde insan veya insan olmayan tüm kimlikler için kapsamlı güvenlik sağlar.

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

Veri şifreleme: Bulut platformlarında daha fazla güvenlik

Son zamanlarda Trello gibi çevrimiçi platformlar sıklıkla siber saldırıların hedefi oluyor. Bulutta daha etkili veri şifrelemeyi sağlayan 5 ipucu ➡ Devamını oku

Halkla İlişkiler Mesajları
, , , , ,