Azure Arc tarafından etkinleştirilen AKS'de kapsayıcı güvenliği
Şunlar için geçerlidir: Azure Stack HCI 22H2 üzerinde AKS, Windows Server'da AKS
Bu makalede, uygulamaları paketlemek ve dağıtmak için kullanılan kapsayıcıların güvenliğini sağlamanın ve Azure Arc tarafından etkinleştirilen AKS'de güvenlik açıklarının oluşmasını önlemenin çeşitli yöntemleri açıklanmaktadır.
Uygulamalar ve hizmetler bir ortamda ayrıldığından kapsayıcılar operasyonel ve güvenlik avantajları sağlar. Kapsayıcılar ayrıca soyutlamaları nedeniyle sistem genelindeki hataların etkilerini azaltmaya da yardımcı olur. Bu da çalışma süresini güvence altına alır ve uygulamaların veya hizmetlerin güvenliğini tehlikeye atabilecek saldırıları önler. Kapsayıcılar genellikle konak işletim sisteminin üzerinde soyutlanmış bir katmanda çalışır ve soyutlama bazı ayrım engeli ve katmanlı bir savunma modeli uygulama fırsatı sunar.
Kapsayıcı işlem hattını, uygulamayı ve kapsayıcı dağıtım ortamını güvenli hale getirerek sürekli kapsayıcı güvenliği de ayarlayabilirsiniz. Aşağıdaki bölümlerde kapsayıcı güvenliğini uygulamak için önerilen bazı uygulamalar açıklanmaktadır.
Görüntülerin güvenliğini sağlama
Yetkisiz erişimi önlemek için görüntüleri güvenli ve güvenilir bir kayıt defterinde barındırın. Görüntülerin güvenilen kök CA'sı olan bir TLS sertifikası olmalıdır ve kayıt defteri güçlü kimlik doğrulaması ile rol tabanlı erişim denetimi (RBAC) kullanmalıdır. Kapsayıcı derlemesi ve teslimi için CI/CD tasarlarken bir görüntü tarama çözümü eklemeniz gerekir. Görüntü tarama çözümü, yaygın güvenlik açıklarını ve pozlamaları (CVE) belirlemeye yardımcı olur ve yararlanılabilir görüntülerin düzeltme olmadan dağıtılmamasını sağlar.
Konak ortamını sağlamlaştırma
Kapsayıcı güvenliğinin önemli bir yönü, kapsayıcılarınızın üzerinde çalıştığı sistemlerin güvenliğini ve çalışma zamanı sırasında çalışma şekillerini sağlamlaştırma gereksinimidir. Kapsayıcı güvenliği, konağınız ve daemon'lar dahil olmak üzere yığının tamamına odaklanmalıdır. Konaktan kritik olmayan hizmetleri kaldırmalı ve uyumlu olmayan kapsayıcıları ortama dağıtmamalısınız. Bunu yaptığınızda konağa erişim yalnızca kapsayıcılar aracılığıyla gerçekleştirilebilir ve denetim kapsayıcı daemon'unun merkezi hale getirilerek konağı saldırı yüzeyinden kaldırır. Bu adımlar özellikle kapsayıcılarınıza erişmek için ara sunucuları kullandığınızda yararlıdır ve kapsayıcı güvenlik denetimlerinizi yanlışlıkla atlayabilir.
Kapsayıcı kaynaklarını sınırlama
Bir kapsayıcının güvenliği aşıldığında, saldırganlar kötü amaçlı etkinlikler gerçekleştirmek için temel konak kaynaklarını kullanmaya çalışabilir. İhlallerin etkisini en aza indirmek için bellek ve CPU kullanım sınırları ayarlamak iyi bir uygulamadır.
Gizli dizileri düzgün bir şekilde güvenli hale
Gizli dizi, konak ile kapsayıcı arasında geçirilmesi gerekebilecek hassas bilgiler içeren bir nesnedir; örneğin, parolalar, SSL/TLS sertifikaları, SSH özel anahtarları, belirteçler, bağlantı dizeleri ve düz metin olarak iletilmemesi veya şifrelenmemiş olarak depolanması gereken diğer veriler. Tüm gizli dizileri görüntülerden uzak tutmalı ve kapsayıcı düzenleme altyapısı veya bir dış gizli dizi yöneticisi aracılığıyla bağlamanız gerekir.
Yalıtım alıştırması yapma
Yalıtım kullanın ve uygulamayı kapsayıcıda çalıştırmak için ayrıcalıklı bir kullanıcı veya kök kullanıcı kullanmayın. Kapsayıcıları ayrıcalıklı modda çalıştırmaktan kaçının çünkü bunu yapmak, kapsayıcının güvenliğinin aşılması durumunda saldırganın ayrıcalıkları kolayca yükseltmesine olanak tanıyabilir. Kapsayıcıdaki kök kullanıcının UID'sini (Benzersiz Tanımlama Kodu) ve GID'yi (Grup Tanımlama Kodu) bilmek, bir saldırganın konak makinedeki kök tarafından yazılan dosyalara erişmesine ve bunları değiştirmesine izin verebilir. Ayrıca, bir uygulamanın yalnızca ihtiyaç duyduğu gizli dizilere erişimi olan en düşük ayrıcalıklar ilkesini kullanmak da gerekir. Uygulama işlemini çalıştırmak için bir uygulama kullanıcısı oluşturabilirsiniz.
Çalışma zamanı güvenlik izlemeyi dağıtma
Altyapınıza yönelik saldırılara karşı önlem aldıktan sonra bile tehlikeye girme olasılığı devam ettiğinden, kötü amaçlı etkinlikleri önlemek ve algılamak için uygulamanın davranışını sürekli izlemek ve günlüğe kaydetmek önemlidir. Prometheus gibi araçlar altyapınızı izlemek için etkili bir yol sağlar.