Çalıştırma aşamasına genel bakış
Çalıştırma aşaması, Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesinin beşinci aşamasıdır. Bu aşamada çalışma zamanı ortamlarının taranıp izlenmesi ve bunların güncel olmayan ve savunmasız görüntülerden arındırılması vurgulanmaktadır. Bu genel bakış CSSC çerçevesinin Çalıştırma aşamasının arka planını, hedeflerini ve hedeflerini sağlar.
Microsoft'un Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesi, kapsayıcıları güvenilir görüntülerle çalıştırma gereksinimini tanımlar ve görüntüleri güvenli bir şekilde çalıştırmaya ve çalışma zamanının saldırı yüzeyini azaltmaya yardımcı olacak bir dizi en iyi yöntem ve araç sağlar. Bu makalede, CSSC çerçevesinin Çalıştırma aşamasında kullanabileceğiniz hedefler, en iyi yöntemler ve araçlar hakkında bilgi edineceksiniz.
Background
Kuruluşlar şu anda güvenilir görüntülerle uyumlu kapsayıcılı iş yüklerini çalıştırmak için çeşitli yaklaşımlar kullanmaktadır. Dağıtılan iş yüklerinin izlenmesi, kuruluşlara gerçek işletim durumunun beklenen durum olduğunu doğrulama olanağı sağlar. İş yükü görüntüleri dağıtıldıktan sonra veya dağıtıldıktan sonra güvenlik açığına maruz kalır. Kuruluşların, güvenlik güncelleştirmelerini veya hata düzeltmelerini almak için hangi iş yüklerinin artık savunmasız olduğunu ve hangi görüntülerin desteksiz olduğunu algılamak için çalışma zamanı ortamlarını ve görüntülerini sürekli taramaları önerilir.
CSSC çerçevesinin Çalıştırma aşaması, çalışan kapsayıcıların ve çalışma zamanı konaklarının güvenli olduğundan emin olmak için uygulanması gereken bir dizi adım ve güvenlik denetimi önerir. Örneğin düğümleri zamanında geri dönüştürme, kapsayıcıları güncel ve düzeltme eki uygulanmış kapsayıcı görüntüleriyle yükseltme, eski, çalışmayan kapsayıcı görüntülerini kaldırma ve kapsayıcıların istenmeyen davranışlarını önleme.
Önerilen yöntemler
Microsoft, kapsayıcılı iş yükleri ve çalışma zamanı için sürekli çalışan güvenlik açığı ve kötü amaçlı yazılım tarayıcısı önerir. Kapsayıcıları ve düğümleri düzenli olarak güncelleştirmek ve düğümleri temiz tutmak, kapsayıcılı uygulamaların güvenliğini tehlikeye atmaya karşı korumaya yönelik etkili uygulamalardır.
- Güvenlik açığı ve kötü amaçlı yazılım için düzenli olarak tarama yapın ve düzeltme eki uygulama ve güncelleştirme gerektiren görüntüleri belirlemek için görüntü yaşam döngüsü meta verilerini denetleyin. Zayıf eski görüntülerin kötü aktörler tarafından kullanılma olasılığını azaltmak için düğümdeki önbellekten eski görüntüleri düzenli olarak temizleyin
- Barındırma ortamları ve kapsayıcılar üzerinde güçlü kimlik doğrulama ve yetkilendirme mekanizmaları yapılandırmanın yanı sıra saldırganlar sistemlere kolayca erişemediğinden ve tehlikeye girdikten sonra hasara neden olabileceğinden kapsayıcıları kök olmayan olarak çalıştırma
- Kapsayıcıları ve iş düğümlerini düzenli olarak güncelleştirin. Bu, kapsayıcıların ve düğümlerin en son güvenlik düzeltme ekleri ve düzeltmeleriyle çalışmasını sağlar
- Kapsayıcı ve düğüm bağlantı noktasını kısıtlayarak, kapsayıcıların ağ erişimini kısıtlayarak, karşılıklı TLS'yi etkinleştirerek saldırı yüzeyini azaltın.
- Sistem kararlılığı riskini azaltmak için kapsayıcılara kaynak kısıtlamalarını uygulama (örneğin, bir kapsayıcının ne kadar bellek veya CPU kullanabileceğini denetleme)
- CIS karşılaştırmaları, CISE kılavuzu, CNCF Yazılım Tedarik Zinciri En İyi Uygulamaları, NIST rehberi veya ihtiyaçlarınıza göre bölgesel kamu kılavuzu gibi endüstri standardı yönergeleri izleyin
Çalışma zamanı ortamlarını sürekli taramak ve izlemek için iş akışı
Çalıştırma aşamasında çalışma zamanı ortamlarını sürekli taramak ve izlemek için bir iş akışı vardır. Çalıştırma aşaması iş akışı, güvenlik açığı olan ve güncel olmayan kapsayıcı görüntülerini temizlemek için geçerlidir. Çalışma zamanı ortamlarının güvenli tutulması çok önemlidir; iş akışı şu adımları izler:
- Olası güvenlik tehditlerini denetlemek için kapsayıcılı iş yüklerinde ve çalışma zamanı ortamlarında güvenlik açıklarını ve kötü amaçlı yazılımları sürekli tarayın.
- En son güvenlik düzeltme ekleri ve düzeltmelerle çalıştığından emin olmak için kapsayıcıları ve çalışan düğümlerini düzenli olarak güncelleştirin.
- Kapsayıcılı uygulamaları tehlikeye karşı korumak ve düzeltme eklerinden ve düzeltmelerden kaynaklanan güvenlik açıklarından kaçınmak için kapsayıcıları ve düğümleri düzenli olarak güncelleştirin.
- Yükseltmenin en son ve güvenli olmasını gerektiren görüntüleri belirlemek için görüntü yaşam döngüsü meta verilerini denetleyin.
- Kötü aktörler tarafından güvenlik açığı bulunan eski görüntülerin kullanılmasını önlemek için düğümdeki önbellekten eski görüntüleri düzenli olarak temizleyin.
- Barındırma ortamları ve kapsayıcılar üzerinde güçlü kimlik doğrulama ve yetkilendirme mekanizmalarının yanı sıra saldırganların sistemlere kolayca erişmesini ve risk altında hasara neden olmasını önlemek için kapsayıcıları çalıştırmayı yapılandırın.
- Kapsayıcı ve düğüm bağlantı noktasını kısıtlayarak, kapsayıcıların ağ erişimini kısıtlayarak, karşılıklı TLS'yi etkinleştirerek ve sistem kararsızlığı riskini azaltmak için kapsayıcıların ne kadar bellek veya CPU kullanabileceğini denetleme gibi kaynak kısıtlamalarını zorunlu kılarak saldırı yüzeyini azaltın.
Çalıştırma aşamasında güvenlik hedefleri
CSSC çerçevesinin Çalıştırma aşaması, aşağıdaki güvenlik hedeflerini karşılamaya yöneliktir.
Çalışan güvenlik açığı olan görüntüleri azaltmak için çalışma zamanını izleme
Kapsayıcıları güvenlik açıkları ve kuruluş ilkeleriyle uyumluluk açısından tarayın. Kapsayıcıların görüntülerin en son sürümünü kullanıp kullanmadığını doğrulayın.
Çalışma zamanı kapsayıcılarınızın güncel tutulması, kapsayıcıların her zaman güvenlik açıklarından arındırılmasını ve kuruluş ilkeleriyle uyumlu olmasını sağlar. Görüntüler aşamalar boyunca sürekli izlenmelidir. Alma aşamasındaki veya Derleme aşamasındaki yeni görüntüler, Çalıştırma aşamasında çalışma zamanı kapsayıcılarının güncelleştirmesini tetikleyebilir. Görüntüler güvenlik açıklarını düzeltme, lisansın uyumsuz hale geldiği yazılımları düzeltme ve görüntü zaman içinde destek sonu gibi çeşitli nedenlerle güncelleştirilebilir. Bu güncelleştirmelerin tümü çalışma zamanı kapsayıcılarının güncelleştirilmelerini tetikler.
Uyumlu olmayan görüntüleri önleme ve eski görüntüleri temizleyerek saldırı riskini en aza indirme
CI/CD işlem hatlarının genellikle Dağıtım aşamasında görüntü derlemesi ve dağıtım platformuna göndermesi yaygındır, ancak çalışma zamanı düğümündeki kullanılmayan görüntüler yeniden temizlenmeyebilir. Bu, diskte birikmeye ve düğümlerde kalan uyumlu olmayan görüntülerin bir konağına yol açabilir. Güvenlik açıkları eski görüntülerde de mevcut olabilir. Eski görüntülerin düzenli olarak temizlenmesi gereksiz taramaları önleyebilir ve çalışma zamanı ortamının saldırı yüzeyini azaltabilir.
Barındırma ortamını güncel ve güvenli yapılandırmalarla koruyun
Güvenilen yukarı akış veya bulut sağlayıcısının güvenlik sürümleri ve düzeltme ekleriyle barındırma ortamını güncel tutun. Çalışma zamanı ortamlarının saldırı yüzeyini azaltmak için katı erişim denetimi ve sınırlı ağ izni sağlayın. Barındırma ortamına yönelik beklenmeyen davranış, yanlış yapılandırma ve saldırılar için gerçek zamanlı algılamayı benimseyin.
Önerilen araçlar
Microsoft, kuruluşların Çalıştırma aşaması iş akışında önerilen adımları uygulamasına ve yukarıda listelenen güvenlik hedeflerine ulaşmasını sağlayan bir dizi araç ve hizmet sunar.
Güvenlik açığı tarama ve düzeltme eki uygulama için araçlar ve hizmetler
Bulut için Microsoft Defender, kapsayıcılı iş yüklerinizin güvenliğini geliştirmek, izlemek ve korumak için bulutta yerel çözümdür. Bulut için Microsoft Defender, Azure Container Registry'de depolanan ve kapsayıcıları çalıştıran görüntüler için güvenlik açığı değerlendirmesi ve yönetim araçları sunar.
Uyumlu olmayan görüntüleri temizlemeye yönelik araçlar ve hizmetler
Azure Görüntü Temizleyici otomatik görüntü tanımlama ve kaldırma işlemleri gerçekleştirir. AKS kapsayıcı iş yükleri için Kubernetes düğümlerinden eski görüntüleri temizlemek için Azure Görüntü Temizleyici'yi veya AKS olmayan veya vanilyalı Kubernetes ortamı için açık kaynak Silgi'yi kullanarak eski görüntü riskini azaltır ve bunları temizlemek için gereken süreyi kısaltır.
Çalışma zamanı hizmetini otomatik olarak yükseltme araçları
Küme otomatik yükseltmesi, somut zaman ve operasyonel maliyet avantajları sağlayan bir "bir kez ayarla ve unut" mekanizması sağlar. AKS Otomatik Yükseltme'yi etkinleştirme, kümelerinizin güncel olmasını sağlar ve AKS kullanıyorsanız AKS ve yukarı akış Kubernetes'ten gelen güvenlik sürümlerini veya düzeltme eklerini kaçırmaz.
Sonraki adımlar
Kapsayıcıları güvenli bir şekilde gözlemlemek ve olası tedarik zinciri güvenlik sorunlarını zamanında bulmak için Gözlemlenebilirlik aşamasına genel bakış konusuna bakın.