Son yıllarda Kubernetes'in istikrarı nasıl ilerledi?
Yayınlanan: 2022-01-20
Kubernetes'in güvenliği yeni yıllarda nasıl gelişti?
Kubernetes'in benimsenmesinde benzeri görülmemiş bir gelişme yaşandı ve işletmelerin neredeyse yüzde 70'i pandeminin doğrudan bir sonucu olarak kullanımlarını genişletti. Bu, kuruluş güvenliğinin daha önce hiç olmadığı kadar zorlanmasına neden olarak, iki gelişmiş karmaşıklığı ve kör noktayı oluşturuyor.
Koruma grupları, her bir Kubernetes projesinin gerçekten görünürlüğüne sahip değildir, bu da hepsini geliştiricilerin çalıştığı hızda güvenceye almayı neredeyse imkansız hale getirir.
Zorluk yaratan yalnızca Kubernetes'in artan itibarı değildir. Bulut tabanlı mimarinin dinamik doğası da bir durumdur. Gerçekte, şirketlerin yüzde 61'i bulut ortamlarının her dakika veya daha az değiştiğini söylüyor ve neredeyse 3'ü en az her 2 dakikada bir uyum sağladıklarını söylüyor. Tüm bu dönüşüm, mikro hizmetler, kapsayıcılar veya dijital makineler olsun, yeni cihazların ve ilgili cihaz kimliklerinin çeşitliliğinde üstel bir artış sağlıyor. Ekipman kimlikleri, sistemlerin birbirleriyle şifreli bir şekilde konuşmak için kullandığı sertifikalar ve anahtarlardır, bu da verileri risksiz ve korumalı tutar.
Bu amaçların çoğu, saniyeler içinde fark yaratacak şekilde yukarı ve aşağı döndürülecek olsa da, yine de tüm yaşam döngüsü boyunca yönetilmesi gereken bir kimliğe ihtiyaçları vardır. İşte bu zorlaşıyor. Kuruluşlar artık tüm bu kimlikleri bulut şirketlerinin etkin prosedürü için gereken hız ve ölçekte yayınlamakta ve bunlarla başa çıkmakta zorlanıyor. Bu, yine de, makine kimliklerinin yanlış yönetilmesi nedeniyle ekstra güvenlik tuzakları ve uygulama kesintileri yaratıyor. Bu aynı zamanda genellikle ağlarda kalan ve tümü doğal bir güvenlik riski oluşturan çok sayıda artık makine kimliği olduğu anlamına gelir.
Öncekinden çok daha fazla saldırı var mı, yoksa sadece Kubernetes'i daha hassas bir şekilde mi hedefliyoruz?
Kubernetes'i her zamankinden daha fazla uygulayan çok daha fazla işletme, bilgisayar korsanlarının onu yeni bir hafiflikte görmelerine neden oluyor. Dolayısıyla, sadece eskisinden daha fazla saldırı görmekle kalmıyoruz, siber suçlular finansal kazanç için yeni alternatifler buluyor. Geçtiğimiz aylarda, siber suç çetesi Staff TNT'nin yanlış yapılandırılmış Kubernetes kümelerinin avantajını kullandığına tanık olduk. İlk girişi elde ettikten sonra, Hildegard adlı kötü amaçlı yazılımları, bir kripto madencisini dağıtmadan hemen önce güvenli olmayan SSH anahtarlarının ve diğer makine kimliklerinin kullanımını oluşturarak daha yüksek konteyner rakamlarına erişilebilirlik sağlayacak şekilde donatıldı.
Bir saldırı daha, yalnızca Microsoft'un bir yardım olarak kapsayıcı sağlama özelliği dahilinde diğer müşterilerin bulut olaylarını ele alabilen kötü niyetli Azure insanlarını fark etti. Bu 'Azurescape' sızıntısı, saldırganların hassas bilgileri çalmak, kripto madenciliğine izin vermek veya tehlikeli kod yürütmek için Kubernetes'i nasıl kullanabileceğinin farklı bir örneğidir. Bulut geliştiricileri, Kubernetes anlayışının zenginliğine sahip olsa da, her bir bağımsız bulut durumu için sağlam kararlılık kontrolleri uygulayacak bir konumda olmaları fiziksel olarak mümkün değildir. Bilgisayar korsanları bu konuda bilgilendirilir ve tekniklerini ve saldırı prosedürlerini geliştirerek bundan çok iyi faydalanırlar. Fon A kişisi ve Docker'ın yüksek profilli ihlaller yaşaması gibi görülen budur.
Kubernetes çok daha fazla kabul gördükçe, saldırı çeşitliliğinin artmasını bekliyoruz. Tabii ki işletmeler Kubernetes ortamlarının savunmasında ekstra canlı bir rol almaya başlamadıkça.
Kuruluşların Kubernetes dağıtımlarında sıklıkla oluşturdukları hatalar nelerdir?
Kubernetes'i dağıtmak için gerekli olan kullanım kolaylığı ve temel prosedürler, birçok avantajından biridir. Bununla birlikte, bu aynı zamanda işletmeler tarafından yaratılan en yaygın gaflardan birine neden olur. Oldukça az sayıda kişi, bu seçenekler doğal olarak korunmasa da, yeni uygulamaları hızla dağıtmaya olanak tanıyan Kubernetes'in varsayılan seçeneklerine büyük ölçüde güveniyor. Örneğin, ağ yönergeleri, tüm uygulamaların herhangi bir kısıtlama olmaksızın birbirleriyle iletişim kurabileceğini ima eder. Bu arada amaçlar, güvenilir olmayan kaynaklardan gelip gelmediğine bakılmaksızın, herhangi bir kapsayıcı görüntüsünü, yürütülebilir kodlu çeşitli statik dosyaları da kullanabilir. Bu aşırı güven, kurumları siber suçluların önemli ölçüde kullandığı bir dizi güvenlik açığına açıyor.
Kubernetes'e geldiğinde farklı bir popüler kayma işletmesi, cihaz kimliklerinin yanlış yapılandırılması ve yanlış yönetilmesidir. Bu kimliklerin kısa bir süre sonra sona erdiği ve amaçlar arasında geçiş halindeki gerçekleri korumak için çok önemli olduğu düşünüldüğünde, bu korkutucu bir ihtimaldir. Bunlar yanlış yapılandırılırsa veya unutulursa, bilgisayar korsanlarının bu kimlikleri çalması veya taklit etmesi ve bunları saldırılar gerçekleştirmek için kullanması mümkündür. Bu, yalnızca önemli iş yüklerinin başarısız olmasına neden olmakla kalmaz, aynı zamanda hassas bilgiler ve gerçekler yanlış yerleştirilmiş olabilir ve tam bir ağın ötesine geçmeyi bulmaya çalışan bir saldırgana daha da fazla kontrol sunulabilir.
Bu, bulutun dinamik karakteriyle birleşen makine kimliklerindeki bir patlamanın, kılavuz yönetiminin basitçe elde edilemediğini gösterdiğine inandığınızda stres yaratıyor. Aynı zamanda, yeni kimliklerin sürekli iyileştirilmesi, inşaatçılar kalite yönetimini koruma beklentilerine karşı test etmek için kullanmadan çok daha fazla ve ek programlar oluşturdukça güvenlik açıklarının düzenli olarak açıldığını gösteriyor.
Buna ek olarak, kuruluşlar sahip oldukları istikrarın sorumluluğunu alamamaktadırlar. En etkili güvenlik uygulamasına çok daha iyi uymaları ve güvenliğin en başından itibaren öncelikli bir ideal yaratıldığı bir DevSecOps toplumunu benimsemeleri gerekecek. Şirketlerin başını belaya sokan şey, bunu yapmamak. Dijital sağlayıcılara artan ihtiyaçla birlikte, inşaatçılar sürekli olarak sektöre geçiş süresini hızlandırmak için sadece inşa etmeye ve yenilik yapmaya odaklanıyorlar. Bunun yerine, olası zorluklara karşı korunmaya ve izlenmeye devam etmelerini sağlamak için Kubernetes dağıtımlarındaki güvenlik gruplarıyla daha iyi uyum sağlamaları gerekir.
Şirketler, Kubernetes altyapılarını saldırganlardan korumak için proaktif olarak hangi adımları atabilir?
Canonical'dan araştırma, iki şirketteki bir kişinin mülk içi Kubernetes yeteneklerinin eksikliğinden çok daha fazlasının zorlandığını gösteriyor. Kuruluşların bu artan becerilerle başa çıkmak için atabilecekleri 1 numaralı eylem, Kubernetes altyapısıyla nasıl ilgilenecekleri konusunda personeli eğitmek ve becerilerini geliştirmek için uzmanlarla birlikte katılmaktır. Aynı zamanda, şirketlerin tüm zorlukların ve tehdit azaltma yollarının farkında olduklarından emin olmak için bulut olgunluklarını hızlandırmaları gerekecek. Büyüme ekipleri ellerindeki ekipman konusunda hevesli ve buluta özgü uygulamalar oluşturmakla meşgul olsalar da, güvenlik grupları hala ayakta kalmak için mücadele ediyor.
Bununla birlikte, bulut olgunluğunu artırmak basit bir iş değildir. Bulutta yerel teknolojiler yenidir ve çoğu kuruluş bunlarla ilgili sınırlı farkındalık ve deneyime sahiptir. Bu nedenle, şirketlerin hızlı, korumalı bulutta yerel geliştirmeye yardımcı olmak için önemli yetenekler, süreçler ve donanımlar sağlayabilecek arkadaşlarla çalışması çok önemlidir.
İşletmelerin de otomasyon sistemlerini benimsemesi gerekiyor. Bu, makine kimliklerinin verilmesini, yapılandırılmasını ve yönetilmesini otomatikleştirmeyi içerir, böylece geliştiriciler, dağıttıkları altyapının güvenliği veya bütünlüğü hakkında strese girmeden yeni uygulamaları dağıtabilirler.
Otomasyon, aşırı gergin çalışan ortaklarından gerginliğin alınmasını sağlayacaktır. Bunun yerine, zamanlarını ve enerjilerini sürüşe işletmeye fayda sağlamaya odaklayabilirler. Bu, belirli ciddi zamanlı görünürlük, güvenlik kriterlerine bağlılık ve koruma risklerine gerçek zamanlı olarak tepki verme yeteneği sağlayacaktır.
Sıfırın, Kubernetes'in süregelen savunmasına katılma inancının hangi işlevi var?
Zero-rely on, Kubernetes'in süregelen güvenliğine katılmak için giderek daha önemli bir konuma sahip olacak. Bu kadar çok durum ve artan iş yükü ile, tüm bu kişilerin ekipman kimliklerini ele almak ve prosedürdeki her bir yazılımı ve kişiyi doğrulamak için donanımlı olmak imkansız hale geliyor. Bu, özellikle bazı kapların saniyeler içinde yukarı ve aşağı döndürüleceği durumlarda geçerlidir.
Bu nedenle, her uygulamanın her zaman doğrulanmak ve doğrulanmak istediğinin varsayıldığı bir sıfır inanç tekniği yürütülmelidir.
Bunun buluta özgü ortamların içinde işi yapması için, makine kimliklerinin temel bir konum kazanmasıyla iş yükü düzeyinde güvenin sağlanması gerekir. Otomasyon, modern gelişmeye ve kitlesel örgütlenme amaçları için istenen ölçeğe ayak uyduracak bir ücret karşılığında sıfıra güven taktiğiyle bu kimliklerin korunması için hayati önem taşıyacaktır.
Chintan Bellchambers, Öğe Yöneticisi, Jetstack