Konteyner güvenliği: En iyi uygulamalardan en iyi şekilde nasıl yararlanılır?

Konteynerler, işletmeye kanıtlanmış faydalar sağlayan ancak aynı zamanda güçlü güvenlik yönergeleri gerektiren karmaşık sanal varlıklardır. Kapsayıcı güvenliği en iyi uygulamalarından en iyi şekilde nasıl yararlanacağınızı öğrenin.

<a href="https://www.techrepublic.com/a/hub/i/r/2021/07/01/3ac6e08b-7161-4a58-9a32-4960214792c4/resize/770x/b1ec4175fd2477f2dd86a97c2ce4bcc2/containers-concept.jpg " target="_blank" data-component="modalEnlargeImage" data-headline="

" data-credit="Resim: Avigator Fortuner/Shutterstock">Konteyner konsepti

Resim: Avigator Fortuner/Shutterstock

En iyi şekilde uygulamaları, mikro hizmetleri ve süreçleri çalıştırabilen bir işletim sistemi sanallaştırma örneği olarak tanımlanan kapsayıcılar, teknoloji endüstrisinde temel bir unsurdur. Esneklikleri ve dağıtım kolaylığı, daha hızlı teslimatlar ve daha sağlam ortamlar elde edilmesine yardımcı olabilir.

GÖRMEK: Kubernetes: Bir hile sayfası (ücretsiz PDF) (Teknik Cumhuriyeti)

Uptycs CEO'su Ganesh Pai, "Kapsayıcılar, geliştiricilerin altyapıları hakkında daha az düşünmesi gereken soyutlama yolunda bizi daha ileriye götürdü. Sanal makineler donanım kaynaklarını soyutladı; konteynerler, işletim sisteminin karmaşıklıklarını gizleyerek bunu daha da ileri götürdü," dedi. SQL destekli bir güvenlik analizi platformu. "Konteynerler, güçlü uygulama görüntüsü yönetimi, çalışma zamanı yalıtımı, verimli ölçeklendirme, kaynak havuzu oluşturma sağlar ve modern mikro hizmet mimarisinin ayrılmaz bir parçası haline geldi."

Bulut güvenliği ve uyumluluk sağlayıcısı Threat Stack'te ürün başkan yardımcısı Chris Ford, ne kadar hızlı standart ücret haline geldiklerini kaydetti. "Konteynerler hızla gelişmekte olan bir teknolojiden birçok kuruluşun bulut stratejilerinin ayrılmaz bir parçası haline geldi. Gartner bunu şu şekilde tahmin ediyor: 2022, kuruluşların %75'i üretimde container mimarisine alınmış uygulamalar çalıştıracak, bugün %30'dan daha az. Uygulamaları neden kapsayıcılarda çalıştırmalısınız? Verimlilik ve gelişme hızı hedeflerdir. Kapsayıcılar, kaynak kullanımını optimize ederken bile kuruluşların inovasyon hızını artırmalarına yardımcı oluyor."

Ancak teknolojideki her şeyde olduğu gibi, güvenlik endişeleri var. SCMagazine.com yakın zamanda bildirdi Yanlış yapılandırılmış kapsayıcıların %50'si bir saatten kısa sürede botnet'ler tarafından vurulur, ve SecurityWeek şunu ortaya çıkardı: Tedarik zinciri saldırıları da dahil olmak üzere konteyner altyapılarına yönelik saldırılar artıyor.

Konteyner güvenlik şirketleri belirli zorlukları ele almaya çalışıyor

Pai, "Geleneksel sunucu iş yükü koruma teknolojisi, nispeten statik şirket içi iş yükleri için oluşturuldu, ancak en aza indirilmiş, geçici konteyner iş yüklerinde iyi çalışamayacak kadar ağır" dedi. "Ayrıca, kapsayıcılarla çalışan geliştiriciler genellikle açık kaynak arka kapılar ve kötü amaçlı yazılımlar içerebilecek yazılım. çünkü daha yeni sürekli entegrasyon, sürekli gelişim iş akışları, yazılımın daha hızlı güncellenmesi, test edilmesi ve dağıtılması anlamına gelir; bu, kötü amaçlı yazılımların ve diğer güvenlik açıklarının sürecin başında tespit edilmesi için avantajlıdır.

"Daha yeni bulut iş yükü koruma platformu araçları türleri, kapsayıcı ana bilgisayarlarda veya kapsayıcıların kendisinde çalışacak şekilde oluşturuldukları ve erken tespit için CI/CD ardışık düzenlerine kolayca dahil edilebildikleri için bu sorunları ele alıyor. Ek olarak, tehdit aktörleri CI/ Tedarik zincirine kötü niyetli davranışlar enjekte etmek için CD ardışık düzenleri. Çevik bulut iş yükü dağıtımlarının tüm aşamalarında telemetriyi gözlemlemek ve eyleme geçirmek SecDevOps ekipleri için önemli hale geliyor."

GÖRMEK: Baştan sona: Bir LDAP sunucusu nasıl dağıtılır (TechRepublic Premium)

Ford, konteyner güvenliğinin zorluklarını tartıştı. "Konteyner güvenliği girişimleri, kapsayıcıların getirdiği bazı zorluklara çözüm arıyor: Modern yazılım geliştirmenin giderek daha otomatik hale gelen doğası, güvenlik sorunlarını hızla şiddetlendirebilir. Otomasyon, yanlış yapılandırmaların, güvenlik açıklarının ve kötü amaçlı yazılımların çok hızlı bir şekilde yaygınlaşmasına neden olabilir. bulut altyapısı, özellikle konteyner düzenlemesi (örn. Kubernet'ler) kullanılıyor.

Çözümlerle ilgili zorlukların, tek bir altyapı katmanına odaklanmaları ve iş yüklerinin çok çeşitli altyapı türlerini kapsaması olduğunu söyledi. Bu, "alet yayılımı" yaratır.

Ford, "Güvenlik ekipleri, sanal makineler, kapsayıcılar, konteyner düzenlemesi, sunucusuz gibi çeşitli altyapı katmanları için bulgular üreten farklı araçlar tarafından boğulmuş halde bulabilir" dedi. "Bu araç yayılımı, birden çok bulut altyapısı katmanını kapsayan, giderek daha karmaşık hale gelen saldırıların görünürlüğünü de engelleyebilir."

Bunun yarattığı sorunlar: yüksek operasyonel maliyetler, karmaşıklık, verimsiz iş akışları, güvenlik ve uyumluluğa yönelik birleştirilmiş bir yaklaşım, sınırlı risk görünürlüğü, parçalanmış politikalar ve kontroller, verimsiz risk önceliklendirme ve iyileştirme ve silolu denetim ve uyumluluk raporlaması.

GÖRMEK: Docker görüntülerini ve kapsayıcılarını kolayca yönetmek için CyberPanel nasıl kullanılır? (Teknik Cumhuriyeti)

Ford şunları önerdi: "Güvenlik kuruluşları, kapsayıcılar gibi yeni altyapı türlerini desteklemek için ek araçlar kullanmaya devam etmek yerine, güvenlik ve uyumluluk için tekil, platform merkezli kapsamlı bir yaklaşım düşünmelidir. Tüm bulut altyapınızda tam yığın gözlemlenebilirliğini artırarak, kuruluşlar, farklı ortamlarda riski algılama, değerlendirme ve bunlara bütünsel olarak yanıt verme yeteneği. Güvenlik ekipleri ve kullandıkları çözümler, işletmelerinin modern teknolojileri benimsemesini hızlandırırken aynı zamanda yeni riskleri ele alabilmelerini ve ortaya çıkan düzenlemeleri geniş ölçekte destekleyebilmelerini sağlayabilir."

Kapsayıcıları ve mikro hizmetleri güvence altına almak için en iyi uygulamalar

Pai, bu sistemlerin güvenliğini sağlamanın en iyi yolunun güvenlik telemetrisini yönetmeyi ve analiz etmeyi kolaylaştırmak olduğunu söyledi.

"Konteynerlerde, düzenleme ve bulut hizmeti sağlayıcılarında çalışan bulut iş yüklerinden telemetriyi toplayıp analiz ederek tüm ortamınız hakkında sorular sormanın ve hızlı içgörüler elde etmenin basit olması gerektiğine inanıyoruz" dedi. "Çözmekte olduğumuz sorun, proaktif güvenlik (denetim ve uyumluluk) ve reaktif güvenlik (algılama ve yanıt) için güvenlik analitiği uygulayabilmeniz için tüm bu telemetriyi tek bir yerde ve normalleştirilmiş bir biçimde elde etmektir."

GÖRMEK: Prisma Cloud artık bulut iş yüklerini ve kapsayıcıları otomatik olarak koruyabilir (Teknik Cumhuriyeti)

Pai, telemetriyi konteyner çalışma zamanından (osquery), orkestrasyondan (kubequery) ve bulut sağlayıcılarından (cloudquery) normalleştiren telemetri destekli güvenliğe odaklandığını söyledi ve bu, güvenlik pratisyenlerinin, "'Benim ortamı bu bilinen güvenlik açığı olan paketi çalıştırıyor mu?' veya 'Bu dosya karması Kubernetes Kümemde başka nerede görünüyor?'"

Ford, daha yeni şirketlerin yalnızca konteynerlere odaklanma eğiliminde olduğunu, ancak güvenlik duruşlarına daha bütünsel olarak bakmanın önemli olduğunu söyledi.

"Aksi takdirde, genel iş yükü riskinin bir resmini çizmek göz korkutucu olabilir" dedi. "Birbirinden farklı çözümler farklı bulgular üretir ve bu bulguları birleştirmek için bir SIEM kullanılabilse de amaç, izlemeye daha fazlasını eklemek değil, güvenlik ekipleri için çalışmaya öncelik vermek olmalıdır. Konteynerleri, Fargate iş yüklerini izlemek için tek bir yere sahip olmak çok önemlidir. Kubernet'ler, sanal makineler, uygulamalar ve bulut sağlayıcı API'leri, böylece birden fazla araca olan ihtiyacı ortadan kaldırıyor. Amaç, riskli kullanıcı, dosya, ağ ve süreç etkinliğini ortaya çıkararak bu iş yüklerine görünürlük sağlamak."

Ancak en önemlisi, kapsayıcıları hızlı bir şekilde dağıtmak: "Yeniliği hızlandırmak için bulutta yerel altyapıyı hareket ettiren şirketler, güvenlik için hızdan ödün vermek zorunda kalmayacak. Örneğin Tehdit Yığını sensörleri, popüler yapılandırmadan çeşitli bulut yerel araçları kullanılarak hız ve ölçekte dağıtılır Ford, Kubernetes arka plan programlarına ve Helm çizelgelerine yönetim araçları" dedi.

Konteyner güvenliğinin geleceği

Pai, hangi yaklaşımın ve mimarilerin benimsendiğine bağlı olarak konteyner güvenliğinin birkaç farklı yöne gidebileceğini söyledi. "BT, yazılım geliştirme ve dağıtım modelleri sorumluluğu üstlenecek ve güvenlik paradigmaları bunu takip edecek. Liman işçisi, Cri-o, Containerd ve büyük olasılıkla AWS Firecracker ve Google gVisor gibi mikro VM teknolojileri ile tamamlanacak. Ek olarak, Hizmet Olarak İşlev gibi diğer sunucusuz teknolojiler, Hizmet Olarak Sunulan Yazılımlar hizmetler muhtemelen kapsayıcı güvenliğini şekillendirecektir. Hangi yaklaşım geçerli olursa olsun, yapılandırma, davranış/kullanım izi etkinliği ve akış günlükleri için her zaman telemetri olacaktır. Bu telemetriye ya doğrudan çalışma zamanından (kapsayıcı) ya da servis sağlayıcıdan (API) erişilebilir."

GÖRMEK: Box CEO'su Aaron Levie: Bu yıl bulut için gökyüzü açık (Teknik Cumhuriyeti)

Pai, konteyner güvenlik yeteneklerinin daha geniş güvenlik çözümlerinin dokusuna giderek daha fazla ekleneceğini söyledi. Ford, güvenlik önlemlerinin giderek daha otomatik hale getirileceğine inandığını söyledi.

Ford, "Bulut tabanlı altyapının ölçeği, güvenlik ekibinin olaylara yanıt verme kapasitesini geride bırakıyor" dedi. "Türünün en iyisi çözümler, algılama mekanizmalarını (kurallar, makine öğrenme) en yüksek risk yoğunluğunu belirlemek ve esnek bir entegrasyon çerçevesi ve ortak ekosistemi aracılığıyla otomatik iyileştirmeyi tetikleyecek,"

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*