Uygulamalarını öncelikle kapsayıcılar kullanılarak dağıtılan ve Kubernetes ile düzenlenen bir dizi mikro hizmet olarak oluşturan yazılım geliştiricileri için, oluşturma aşamasının ötesinde yepyeni bir dizi güvenlik düşüncesi ortaya çıktı.

Bir kümeyi sağlamlaştırmanın aksine, kapsayıcılı ortamlarda çalışma zamanında savunmanın dinamik olması gerekir: bir kapsayıcı üretime girdikten sonra beklenmedik bir kaynağa bağlanma veya yeni bir ağ soketi oluşturma gibi beklenmedik davranışları sürekli olarak tarama.

Geliştiriciler artık daha erken ve daha sık test etme eğiliminde olsalar da (veya yaygın olarak bilindiği gibi sola kayıyor) kapsayıcılar, tüm yaşam döngüsü boyunca ve farklı, genellikle geçici ortamlarda bütünsel korumaya ihtiyaç duyuyor.

Gartner analisti Arun Chandrasekaran InfoWorld’e “Bu, işleri güvence altına almayı gerçekten zorlaştırıyor” dedi. “Burada manuel işlemler yapamazsınız; sadece birkaç saniye yaşayabilecek bir şeyi izlemek ve güvence altına almak için bu ortamı otomatikleştirmeniz gerekir. Böyle şeylere e-posta göndererek tepki vermek işe yarayacak bir tarif değil.”

Google, 2019 tarihli “BeyondProd: Bulutta yerel güvenliğe yeni bir yaklaşım” başlıklı teknik incelemesinde, korumanın kapsamı genişletmesi gereken “çevre güvenlik modelinin artık son kullanıcılar için çalışmadığı gibi mikro hizmetler için de artık çalışmadığını” ortaya koydu. “Kod nasıl değiştirilir ve mikro hizmetlerdeki kullanıcı verilerine nasıl erişilir.”

Geleneksel güvenlik araçlarının ağı veya bireysel iş yüklerini korumaya odaklandığı durumlarda, modern bulutta yerel ortamlar, yalnızca yapıyı güvenceye almaktan daha bütünsel bir yaklaşım gerektirir. Bu bütünsel yaklaşımda, ana bilgisayar, ağ ve uç noktalar sürekli olarak izlenmeli ve saldırılara karşı güvence altına alınmalıdır. Bu genellikle dinamik kimlik yönetimini ve ağ ve kayıt defteri güvenliğine erişim denetimlerini içerir.

Çalışma zamanı güvenliği zorunluluğu

Gartner’dan Chandrasekaran, bulutta yerel güvenliğin dört temel yönünü belirledi:

  1. Hala kümeleri sertleştirerek temelleri güvenceye almakla başlar.
  2. Ancak daha sonra kapsayıcı çalışma zamanını güvence altına almaya ve yeterli izleme ve günlük kaydının yapılmasını sağlamaya kadar uzanır.
  3. Ardından, sürekli teslim sürecinin güvenli olması gerekir; bu, güvenilir kapsayıcı görüntüleri, güvenli Helm çizelgeleri ve güvenlik açıkları için sürekli taranan yapılandırmaların kullanılması anlamına gelir. Bunun da ötesinde, ayrıcalıklı bilgiler, sırları etkin bir şekilde yöneterek güvence altına alınmalıdır.
  4. Son olarak, ideal durumu etkin bir şekilde ayarlayarak ve sürekli olarak bu durumdan sapmaları arayarak, Aktarım Katmanı Güvenliğinden (TLS) uygulama kodunun kendisine ve mevcut herhangi bir bulut güvenliği duruş yönetimine kadar ağ katmanının güvenliği sağlanmalıdır.

2021 InfoWorld makalesinde, Alman sigorta şirketi Munich Re’nin teknik mimarı Karl-Heinz Prommer, “etkili bir Kubernetes güvenlik aracının Kubernetes ortamındaki tüm bağlantıların güvenliğini görselleştirip otomatik olarak doğrulayabilmesi ve tüm beklenmedik faaliyetler … Bu çalışma zamanı korumalarıyla, bir saldırgan Kubernetes ortamına girip kötü niyetli bir süreç başlatsa bile, bu süreç hasara yol açmadan hemen ve otomatik olarak engellenir.”

Çalışma zamanı güvenliği girişimleriyle tanışın

Doğal olarak, başlıca bulut sağlayıcıları (Google Cloud, Amazon Web Services ve Microsoft Azure) yönetilen Kubernetes hizmetlerine bu tür bir koruma sağlamak için çok çalışıyor. Google Başkan Yardımcısı Eric Brewer, InfoWorld’e verdiği demeçte, “Bunu doğru şekilde yaparsak, uygulama geliştiricilerinin çok fazla bir şey yapmasına gerek kalmaz, platforma ücretsiz olarak eklenmeli” dedi.

Bununla birlikte, bu bulut devleri bile bu yeni dünyayı tek başına güvence altına almayı umamazlar. Brewer, “Hiçbir şirket bu sorunları çözemez” dedi.

Şimdi, bu boşluğu denemek ve kapatmak için hızla büyüyen bir satıcılar, yeni başlayanlar ve açık kaynak projeleri topluluğu ortaya çıkıyor. Chandrasekaran, “Bu alanda büyüyen bir startup ekosistemi var” dedi. “İşletim sistemini güçlendirmenin veya çalışma zamanını güvence altına almanın temel yönleri biraz metalaştırılıyor ve büyük bulut sağlayıcıları bunu platforma entegre olarak sunuyor.”

Bu nedenle, yeni başlayanlar ve açık kaynak projeleri için fırsat, bulut iş yükü koruması, güvenlik duruşu yönetimi ve sır yönetimi gibi daha gelişmiş yeteneklere odaklanma eğilimindedir ve genellikle bir nokta olarak üstte katmanlanan “akıllı” makine öğrenimi destekli uyarı ve iyileştirme yetenekleri bulunur. farklılaşma.

derin çit

Daha önce FireEye ve Juniper Networks’te çalışan bir yazılım mühendisi olan Sandeep Lahane tarafından 2017 yılında ortaklaşa kurulan Take Deepfence. Lahane InfoWorld’e verdiği demeçte, Deepfence, “bulut varlıklarınız için bir MRA taraması gibi saldırı yüzeyinizi ölçebilen” herhangi bir mikro hizmete hafif bir sensör yerleştirerek çalışma süresi boyunca olanlara odaklanıyor. Deepfence, “bu acı için çare, hedeflenen savunmaları dağıtmak için çalışma zamanı koruması” işinde.

Deepfence, temel aldığı ThreatMapper aracını Ekim 2021’de açık kaynaklı hale getirdi. Nerede çalıştığından bağımsız olarak uygulama güvenlik açıklarını tarar, eşler ve sıralar. Şimdi, başlangıç, tüm çalışma zamanı güvenlik risklerini kapsayacak şekilde platformunu oluşturmaya çalışıyor.

Sisdig

Sysdig, açık kaynak çalışma zamanı güvenlik aracı Falco’yu yaratan, bu alanda yeni ortaya çıkan bir başka satıcıdır.

ThreatMapper’a benzer şekilde Falco, çalışma zamanında olağandışı davranışların tespitine odaklanır. GitHub sayfasında “Falco, çekirdek olaylarını tüketmeyi ve bu olayları Kubernetes ve bulutta yerel yığının geri kalanından alınan bilgilerle zenginleştirmeyi kolaylaştırıyor” diyor. “Falco, Kubernetes, Linux ve bulutta yerel için özel olarak oluşturulmuş zengin bir güvenlik kuralları dizisine sahiptir. Bir sistemde bir kural ihlal edilirse, Falco kullanıcıya ihlal ve ciddiyetini bildiren bir uyarı gönderir.”

Sysdig CTO’su Loris Degioanni InfoWorld’e “Dünyanın değiştiğini ve daha önce kullandığımız tekniklerin modern dünyada işe yaramayacağını anladım” dedi. “Artık ağa erişiminiz olmadığında paket algılama onu kesmiyor. … Böylece, bir bulut uç noktasında oturarak ve sistem çağrılarını toplayarak veya daha basit bir ifadeyle, dış dünya ile etkileşime giren bir uygulamanın sürecini toplayarak kapsayıcılar için hangi verileri toplayabileceğinizi yeniden icat ederek başladık.”

Degioanni, çalışma zamanı güvenliğini görünürlükle başlayan kendi evinizi korumaya benzetti. “Konteynerli altyapınız için güvenlik kamerası” dedi.

Su Güvenliği

2015 yılında kurulan İsrailli startup Aqua Security, Tracee adlı açık kaynaklı bir proje tarafından da destekleniyor. eBPF teknolojisini temel alan Tracee, dağıtılmış uygulamaların çalışma zamanında düşük gecikme süreli güvenlik izlemesine olanak tanıyarak şüpheli etkinlikleri gerçekleştiği anda işaretler.

Aqua CTO’su Amir Jerbi, “Konteynerlerin içerideki her şeyi paketlediğini ve insanların çalıştırmak için bir düğmeye tıkladığını gördüğüm an, benim için güvenliği de buna dahil ettiğim açıktı, bu yüzden bir geliştirici olarak beklemek zorunda değilim,” dedi. . Geliştiriciler “güvenlik uzmanı değiller ve karmaşık saldırılara karşı nasıl korunacaklarını bilmiyorlar, bu nedenle basit ihtiyaçlarını beyan edebilecekleri basit bir güvenlik katmanına ihtiyaçları var. Çalışma zamanı korumasının devreye girdiği yer burasıdır.”

Diğer çalışma zamanı güvenlik sağlayıcıları

Bu alanda faaliyet gösteren diğer şirketler arasında Anchore, Lacework, Palo Alto Networks’ün TwistLock, Red Hat’in StackRox, Suse’s NeuVector ve Snyk yer alıyor.

Açık kaynak, geliştirici satın alma için çok önemlidir

Bu şirketler arasındaki ortak bir faktör, açık kaynak ilkelerinin önemidir. Gartner’dan Chandrasekaran, “Bu alandaki müşteriler açık kaynağa önem veriyor ve tamamen tescilli çözümleri dağıtmak istemiyorlar” dedi. “Açık kaynak topluluklarında aktif olarak yer alan ve açık kaynaklı yazılımların yanı sıra ticari çözümler sunan şirketlerle çalışmak istiyorlar, çünkü bu, bulutta yerel teknolojinin temelidir.”

Bu, InfoWorld’ün konuştuğu tüm girişimlerde yöneticiler tarafından tekrarlanan bir duygu. “Bulutta yerel toplulukta, odak noktasının çoğu açık kaynaktır. Aqua’dan Jerbi, satıcıların bir şeyler deneyebilmeleri, ne yaptığınızı görebilmeleri ve geri katkıda bulunabilmeleri için açık kaynakta büyük bir ayak izine ve katkıya sahip olduklarında takdir ediyorlar” dedi. “Biz ticari bir şirketiz, ancak bu ürünlerin çoğu açık kaynak tabanlıdır.”

Google Cloud CISO’su Phil Venables için, bulutta yerel güvenliğe açık kaynak yaklaşımı, böylesine karmaşık bir sorunu çözmek için kritik önem taşıyor. InfoWorld’e “Giderek artan bir şekilde dijital bir bağışıklık sistemi gibiyiz” dedi: Kendi iç sistemlerimizden, büyük kurumsal müşterilerimizden, tehdit avcılarından, kırmızı ekiplerden ve halka açık hata ödül programlarından istihbarat topluyoruz. “Bu, bizi herhangi bir güvenlik açığına yanıt vermeye ve her şeyi açık kaynaklı projelere geri döndürmeye hazır hale getiriyor, böylece bir şeyler öğrenmek ve onlara yanıt vermek için geniş bir açıklığa sahibiz.”

Çalışma zamanı güvenliğine yönelik bu açık, şeffaf yaklaşım, dağıtılmış uygulamaların benzersiz şekilde dağıtılmış tehditlerle birlikte geldiği bir gelecekte kritik olacaktır. Bulut devleri, bu korumayı platformlarına eklemeye devam edecek ve yeni bir başlangıç ​​sınıfı, kapsamlı koruma sağlamak için savaşacak. Ancak şimdilik, üretim yoluyla kapsayıcılı uygulamalarını güvence altına almakla görevli uygulayıcılar için ileriye dönük yol, gezinmesi zor bir yol olmaya devam ediyor.

#Çalışma #zamanında #Kubernetesi #güvenceye #alma #yarışı