Microsoft'un kapsayıcıların güvenliğini sağlamaya yönelik çerçevesine giriş
Microsoft'un Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesi, kapsayıcıların yaşam döngüsü boyunca güvenlik denetimlerini tümleştirmek ve yürütmek için oluşturulmuş sorunsuz, çevik bir araç ve süreç ekosistemidir. Kapsayıcı güvenli tedarik zinciri stratejisi, kapsayıcı uygulamalarının tüm güvenlik gereksinimleri dikkate alınarak oluşturulur. Amaç, güvenlik açığı bulunan kapsayıcı görüntülerinin kullanımını önlemek ve standart bir güvenlik portföyüyle kapsayıcı altyapısı oluşturmaktır.
CSSC çerçevesi aşağıdaki adımlar kullanılarak oluşturulur:
- Kapsayıcılı uygulamalar için tedarik zinciri aşamalarını belirleme
- Her aşamada riskleri ve gerekli güvenlik denetimlerini özetle
- Her aşamadaki güvenlik hedeflerini ve hedeflerini açıklama
- Her aşamadaki güvenlik araçlarını, işlemleri ve en iyi yöntemleri belirleme
- Her aşamada meta veriler, günlüğe kaydetme ve raporlama ile güvenlik duruşu sağlama
Kapsayıcılar için tedarik zincirlerindeki aşamalar
Kapsayıcılar için tedarik zinciri, kapsayıcıların yaşam döngüsüyle uyumlu olacak şekilde aşamalı olarak oluşturulur. İşlem hattındaki her aşama ayrı hedeflerle, güvenlik riskleriyle ve süreçlerle tanımlanır. Microsoft, kapsayıcılar için tedarik zincirinde aşağıdaki beş aşamayı tanımlar.
Aşama | Ayrıntılar |
---|---|
Edinme | Dış kaynaklardan veya üçüncü taraf satıcılardan kapsayıcı görüntüleri alma. |
Katalog | Derlemeler ve dağıtımlar da dahil olmak üzere iç tüketim için onaylı kapsayıcı görüntüleri sunma. |
Derleme | Uyumlu hizmet ve uygulama görüntüleri ile dağıtım yapıtları oluşturun. |
Dağıtma | Kapsayıcılı hizmetleri ve uygulamaları barındırma ortamlarına güvenli bir şekilde dağıtın. |
Çalıştır | Bir uygulama için iş mantığını yürüten uyumlu, en son ve güvenli kapsayıcı görüntülerinden oluşturulan kapsayıcıları çalıştırın. |
Tedarik zincirinin beş aşamasında da güvenlik süreçlerinin uygulanması için gözlemlenebilirlik ve izlemenin tutarlı bir şekilde uygulanması gerekir. Sürekli gelişen güvenlik uygulamaları kapsayıcı görüntülerini güncelleştirir, güvenlik açıklarını bulur, iç süreçteki değişiklikleri tetikler, iş gereksinimleri ve her aşamada saydamlık eklemek için izleme gerektirir.
Yaygın tedarik zinciri tehditleri
CSSC'den bahsederken yazılım satıcıları, dış kaynaklar, geliştiriciler, hizmet ve operasyon sağlayıcıları arasında sürekli bir yazılım işleminden, kanalları dağıtmadan ve en önemlisi müşteri tabanımızdan bahsediyoruz. Hedefimiz, kapsayıcı yazılımında güvenli bir işlem gerçekleştirmek ve müşterilerimize etkili bir kapsayıcı altyapısı sunmaktır. Herhangi bir küçük güvenlik açığı, güvenlik açığı veya saldırı, anlık bir sıkıntıya, güvenilir iş ortaklarımıza, müşterilerimize ve Microsoft'un itibarına ciddi kayıplar verebilir. Kapsayıcılı uygulamaların güvenliğini ve bütünlüğünü sağlamak için tedarik zinciri genelinde bu güvenlik risklerini ve olası tehditleri ele almak çok önemlidir.
Microsoft, tedarik zincirindeki güvenlik risklerini ve olası tehditleri tanımlar ve daha ayrıntılı bir şekilde inceler:
Güvenilmeyen Kaynaklar
Güvenilmeyen kaynaklardan gelen kapsayıcı görüntülerinin kullanılması önemli güvenlik risklerine neden olabilir. Bu güvenilmeyen kaynaklar kötü amaçlı yazılım, güvenlik açıkları veya arka kapı içeren kapsayıcı görüntülerine sahip olabilir.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Bu riskleri azaltmak için kapsayıcı görüntülerini tedarik zincirine eklemeden önce orijinalliğini ve bütünlüğünü doğrulama.
- Güvenilir kaynaklardan gelen kapsayıcı görüntülerini kullanın. Görüntülerin saygın depolardan geldiğinden ve üzerinde oynanmadığından emin olmak için görüntü tarama ve doğrulama araçlarını kullanın.
Güvenliği Aşılmış Kayıt Defterleri
Güvenli olmayan kayıt defterleri, güvenliği aşılmış veya eski kapsayıcı görüntülerini barındırabilir. Güvenli olmayan kapsayıcı görüntülerinin dağıtılmasını önlemek için kayıt defterlerini düzenli olarak denetlemek ve güvenli bir şekilde güvence altına almak çok önemlidir. Bu, görüntülerin lisanslama gereksinimlerine ve kurumsal en iyi yöntemlere uygun olmasını sağlamayı içerir.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Kapsayıcı görüntüleri kayıt defterlerini düzenli olarak denetleme ve güvenliğini sağlama.
- Güvenli olmayan veya eski görüntülerin kullanımını algılamak ve önlemek için erişim denetimleri, kimlik doğrulama denetimleri ve görüntü taraması kullanın.
Güvenliği Aşılmış Bağımlılıklar
Temel görüntülere kötü amaçlı kod eklemek veya kötü amaçlı kitaplıklar kullanmak kapsayıcı uygulamalarının güvenliğini tehlikeye atabilir.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Kapsayıcı görüntülerinizde kullanılan bağımlılıklar üzerinde katı denetimler uygulayın.
- Bilinen güvenlik açıklarına düzeltme eki uygulamak için temel görüntüleri ve kitaplıkları düzenli olarak güncelleştirin.
- Kötü amaçlı veya savunmasız bağımlılıkları tanımlamak ve düzeltmek için kapsayıcı görüntüsü taramasını kullanma.
Güvenliği Aşılmış Derleme Ortamları
Güvenli olmayan derleme ortamları, güvenlik açığı bulunan, güncel olmayan veya uyumsuz kapsayıcı görüntülerinin eklenmesine neden olabilir.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Güvenilir ve düzenli olarak güncelleştirilen araçları ve kapsayıcıları kullanarak derleme ortamlarınızın güvenliğini sağlayın.
- Derleme işlemi sırasında en son sürümlerin kullanıldığından emin olmak için güncel olmayan veya güvenlik açığı olan kapsayıcı görüntülerini kaldırmak için bir işlem uygulayın.
Onaylanmamış Dağıtım
Güvenilmeyen veya kötü amaçlı kapsayıcı görüntülerinin dağıtılması, kuruluşların çeşitli güvenlik ihlallerine maruz kalmalarına neden olabilir. Yalnızca yetkili ve doğrulanmış kapsayıcı görüntülerinin dağıtıldığından emin olmak için erişim denetimleri ve sağlam bir doğrulama işlemi uygulanmalıdır.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Dağıtım sırasında katı erişim denetimlerini ve görüntü doğrulama işlemlerini zorunlu kılma.
- Kapsayıcı görüntülerini kimlerin dağıtabileceğini sınırlamak için rol tabanlı erişim denetimini (RBAC) kullanın.
- Üretimde yalnızca güvenilir ve kapsamlı olarak test edilmiş görüntülerin dağıtıldığından emin olun.
Gözlemlenebilirlik Eksikliği
İzleme ve gözlemlenebilirlik, güvenlik sorunlarını algılamak için çok önemlidir. Kuruluşlar, kapsayıcı görüntülerinin gerçek zamanlı izlenmesini ve güvenlik saldırılarının algılanması için tedarik zincirinin tamamına görünürlük sağlayan araçlara ve süreçlere yatırım yapmalıdır.
Microsoft bu güvenlik risklerini aşağıdaki yöntemlerle ele aldı:
- Kapsayıcılı ortamınızda izleme ve gözlemlenebilirlik çözümleri uygulayın.
- Tedarik zincirindeki kapsayıcı görüntüsü değişikliklerini, güvenlik olaylarını ve anomalilerini izlemek için günlüğe kaydetme, izleme ve izleme araçlarını kullanın.
- Şüpheli etkinlikler için uyarılar ve bildirimler ayarlayın.
Bu önlemlere ek olarak, net güvenlik ilkeleri ve uygulamaları oluşturmak, ekibinizi en iyi güvenlik uygulamaları konusunda eğitmek ve kapsayıcı tedarik zincirinizin düzenli güvenlik değerlendirmelerini ve denetimlerini yürütmek önemlidir. Kapsayıcılarla ilgili güvenlik tehditleri ve güvenlik açıklarıyla sürekli güncel kalın ve güvenlik önlemlerinizi buna göre uyarlar. Kapsayıcı güvenliği, uyanıklık ve proaktif risk yönetimi gerektiren devam eden bir süreçtir.
Sonraki Adımlar
CSSC Framework'ün her aşaması hakkında daha fazla bilgi için bkz: