Risk farkındalığı, klasik siber güvenlik ilkeleri ve özel savunma önlemleri, veri ve süreçlerin güvenliğini artırır. BT yöneticileri, uygulamaları kurmak ve süreçleri çevik ve esnek bir şekilde çalıştırmak için kendi kapsayıcı güvenliklerini veya bulut hizmeti sağlayıcıları tarafından sağlananları kullanır.
Ancak kapsayıcılar sonuçta yürütülebilir uygulamalardır ve risk oluşturabilir. Kapsayıcı ana bilgisayar sunucuları ve kayıt defterleri, saldırı yüzeyini genişletir. BT güvenliğinin klasik ilkeleri ve tehditlere karşı artan hassasiyet, yeni ortaya çıkan açıkların kapatılmasına yardımcı olur.
Bulutta veya şirket içinde kapsayıcılar
İster özel olarak tutulan ister bir bulut sağlayıcı aracılığıyla sağlanan konteynerler, bilgisayar korsanlarına dört saldırı alanı sunar:
• kullanıcının kapsayıcı için görüntüleri aldığı kayıt defteri;
• konteyner çalışma zamanı;
• konteyner ana bilgisayarı; birlikte
• kap düzenleme düzeyi.
Saldırganlar bu dört güvenlik noktasına çeşitli şekillerde ulaşır. Nihayetinde, hedef ağdaki herhangi bir uç noktadan gerekli yan hareketleri başlatabilirler. Bundan sonra, saldırganlar kayıt defterini, görüntülerini içeren kapsayıcı ana bilgisayarı veya birden çok yedekli görüntüyü içeren kümeleri tehlikeye atabilir veya meşru görüntüleri amaçları doğrultusunda kötüye kullanabilir. Her şeyden önce, kaynakları kendi amaçları için - örneğin kripto madenciliği - veya sabotaj hizmetleri için kullanmak istiyorlar.
Bu nedenle BT güvenlik yöneticileri, BT savunmasının aşağıdaki alanlarına göz kulak olmalıdır:
Savunma Tiyatrosu 1: Resimleri kontrol edin
Kullanıcılar kapsayıcı görüntülerini genel bir buluttan mı yoksa özel bir kayıt defterinden mi alıyorlar, dikkatli olmalılar. Saldırganlar kayıt defterine saldırabilir ve onu, indirilmek üzere kötü amaçlarla manipüle edilmiş ve görünüşte yasal görüntüler sunmak için kullanabilir.
Çözüm: BT yöneticileri, yalnızca güvenli bir kaynaktan alınan test edilmiş ve güncellenmiş görüntüleri kullanırlarsa yeterli güvenliğe sahip olurlar. Ek olarak, BT yöneticileri yalnızca gerçekten ihtiyaç duydukları hizmetleri kullanmalıdır. Bir görüntüyü indirdikten sonra, onu güncel tutun ve herhangi bir güvenlik riskinin bildirilip bildirilmediğine bakın.
Savunma tiyatrosu 2: Konteyner çalışma zamanını izleyin
Bir kapsayıcının çalışma zamanına erişim, saldırganlara çeşitli ve potansiyel olarak geniş kapsamlı fırsatlar sunar. Örneğin, bir güvenlik açığına erişirler ve bunu şirket içinde taşırlar, kötü amaçlı komutlar yürütürler veya meşru bir görüntüyü (örneğin bir Ubuntu işletim sistemiyle) arka kapı kapsayıcısı olarak kullanırlar. Ayrıca bir konteynır yoluyla bir ana bilgisayara erişim sağlayabilirler.
Çözüm: Konteyner çalışma zamanının sağlam bir şekilde korunması, bir konteynerdeki ve ilişkili ana bilgisayardaki işlemleri izler. Düzenli görüntü güncellemeleri sürekli güvenlik sağlar.
Savunma tiyatrosu 3: Konteyner ana bilgisayarını koruma
Siber suçlular konteynır barındırma ortamına erişim elde ederse, oradan kontrol edilen tüm süreçlere erişebilirler. Ayrıca, konteyner sunucularındaki veya konteyner çalışma zamanlarındaki güvenlik açıkları, saldırganlara kendi konteynerlerini çalıştırma fırsatı verir.
Çözüm: Kapsayıcıları çalıştırmak için özel olarak geliştirilmiş Linux dağıtımları daha fazla güvenlik sağlar. Her ana sunucu, kendisini korumak için kendi güvenlik kontrollerine de ihtiyaç duyar. Kurulduktan sonra, ana bilgisayarlar yeni güvenlik açıkları için sürekli olarak izlenmelidir. Güvenli yapılandırmaları için genel yönergeler dikkate alınırsa, işletim sistemi düzeyindeki riskler büyük ölçüde ortadan kaldırılmıştır.
Savunma Tiyatrosu 4: Konteyner Orkestrasyonunun Riskleri
Güvenlik çözümleri, bir Docker ana bilgisayarında (Resim: Bitdefender) saldırganların yan hareketlerini tespit eder.
Saldırganlar ayrıca konteyner kümelerinin yönetimini de hedefliyor. Prensip olarak, bu katman hedef kaynaklara yetkisiz doğrudan erişim sağlar. Örneğin, bilgisayar korsanları genel bir bulutta bir Kubernetes kümesi için kimlik bilgilerini kullanırsa, tüm hizmet sağlayıcıları kümesini manipüle edebilirler. Daha küçük sağlayıcılar için bu gerçek bir risktir. Açığa çıkan bir düzenleme panosu, yetkilendirme olmadan kümeleri uzaktan yönetmek için bir arka kapıdır.
Çözüm: Yetkisiz erişimi önlemek için, rol tabanlı erişim kontrolleri ve kullanıcılara ekonomik hak ataması önerilir. Barındırıcılar veya IaaS sağlayıcıları, müşterinin onayı olmadan mevcut kapsayıcılardaki hiçbir şeyi değiştirememelidir. Ayrıca, farklı uygulamalar tarafından paylaşılan bir Kubernetes kümesindeki bölmeler arasındaki güvenli iletişim, güvenliği artırır.
Risk farkındalığı anahtardır
“Konteyner güvenliği, risk farkındalığı ile başlar. Bitdefender Kıdemli Çözüm Mimarı Cristian Avram, "Eğer varsa, uygun çözümlerle kapların güvenliğini artırabilir ve avantajlarını daha iyi hissederek kullanabilirsiniz" diyor. "Nihayetinde konu, klasik güvenlik kurallarını konteynerlere ve ilgili BT altyapılarına uygulamakla ilgili: güvenlik açığı kontrolü, düzeltme eki uygulama, otomatik güvenlik ve ilgili herkesin yönergelerle eğitimi. Sıfır Güven, sahip olduğu büyük potansiyel nedeniyle titizlikle ve sürekli olarak izlenebilen bir teknoloji için bir güvenlik mekanizması olarak önerilmektedir.”
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de