[ad_1]
Bugün, bulutta yerel uygulamalar oluşturuyor veya bunlarla çalışıyorsanız, neredeyse kesinlikle Kubernetes ile çalışıyorsunuzdur. Yakın tarihli bir bilgiye göre CNCF raporu, kuruluşların %96’sı Kubernetes’i kullanıyor veya değerlendiriyor. Kubernetes’in dünya çapında halihazırda 5,6 milyon kullanıcısı var ve tüm arka uç geliştiricilerin %31’ini temsil ediyor ve hızla bulut uygulamaları için fiili işletim sistemi haline geliyor.
Kubernetes kullanımı yıldan yıla artmaya devam ediyor ve platformdaki hassas verilerin miktarı arttıkça, saldırganların bundan yararlanma teşviki de artıyor. Tamamen yeni ortamları güvence altına almaya çalışmak çok göz korkutucu görünebilir, ancak güvenlik sorunlarının büyük çoğunluğu, düzeltilmesi nispeten kolay olan birkaç temel hatadan kaynaklanmaktadır.
İşte Kubernetes için yedi büyük güvenlik şakası – tümü basit düzeltmelerle.
Varsayılan yapılandırmalar
Birçoğu, varsayılan küme yapılandırmasının güvenlik açısından yeterince iyi olduğunu varsayar, ancak bu bir hatadır. Kubernetes’in varsayılan ayarları güvenlik sınıfı değildir ve bunun yerine geliştiricilerin maksimum esnekliğini ve çevikliğini sağlamak için tasarlanmıştır. Müşteriler, uygun güvenlik için kümelerini doğru şekilde yapılandırdıklarından emin olmalıdır.
Birden çok yönetici
Birden çok mühendisin bir kümede günlük işlemler için CLUSTER_ADMIN gibi yüksek ayrıcalıklı rolleri kullanmasına izin vermek her zaman bir hatadır. Bu rol yalnızca diğer rolleri ve kullanıcıları yönetmek için kullanılmalıdır. CLUSTER_ADMIN erişim düzeyine sahip birden fazla yöneticiye sahip olmak, bilgisayar korsanlarına, tam kümeye tam erişim ile sistemlerinize girebilecekleri ve kötüye kullanabilecekleri daha fazla hesap sağlar.
Erişim kısıtlaması yok
Çoğu yönetici, geliştiricilerin geliştirme/sahne/üretim kümeleri için sahip olması gereken erişim türü konusunda kısıtlamalar belirlemez. Her geliştirici, rolleri için tüm farklı ortamlara tam erişim gerektirmez. Gerçekçi olarak, çoğu geliştiricinin sahip olması gereken tek erişim günlüklerdir. Geliştiricilere sınırsız erişime izin vermek kötü bir uygulamadır. Birden fazla yöneticiye sahip olmaya benzer şekilde, bu hata, bu sınırsız erişimi, kimin hesabına erişim kazanırsa kazansın sistemlerinizde yanal hareket etmek için kullanabilen bilgisayar korsanları tarafından kötüye kullanılabilir.
izolasyon varsayarsak
Küme ağının bulut VPC’nin geri kalanından izole edildiği varsayımı, birçok şirketin onu güvence altına alma ihtiyacını gözden kaçırmasına neden olabilir. Güvenlik eksikliği, kötü oyunculara kolay bir giriş noktası sağlar.
İçe aktarılan YAML’lerin güvenliğinin sağlanamaması
Genel YAML’leri içe aktarmak size zaman kazandırabilir ve tekerleği yeniden icat etme zorunluluğundan kurtulabilir, ancak ortamınıza yanlış yapılandırmalar getirebilir. Şirketler, ekosistemlerine dahil ettikleri herhangi bir YAML’nin güvenlik etkilerinin farkında olmalı ve içe aktarılan yapılandırma sorunlarının mümkün olan en kısa sürede azaltılmasını sağlamalıdır.
Gizli dizileri ConfigMaps’te saklama
Sırlar, parola, belirteç veya anahtar gibi hassas verilerdir. Kolaylık sağlamak için veya bazen bilgisizlikten dolayı, geliştiriciler bu sırları ConfigMaps’te saklar ve hassas verileri, ConfigMap’e erişim kazanırlarsa ilgili kaynağa erişebilecek olan harici bilgisayar korsanlarına ifşa eder.
Düzenli tarama yok
Pek çok şirketin Kubernetes ortamlarındaki sorunları tespit edecek araçları veya planları yoktur. Yazılım geliştirme yaşam döngüsünde (SDLC) ve CI/CD işlem hattında mümkün olan en kısa sürede yanlış yapılandırmalar ve güvenlik açıkları için düzenli taramalar yapmak, bu sorunların üretime geçme olasılığını ortadan kaldırmaya yardımcı olur.
Her şirket sürekli olarak en güvenliler arasında olmak için çabalasa da, en az korunanlar arasında olmadığınızdan emin olarak işe başlayabilirsiniz. Hackerlar çok çalışmak istemezler; başarıya giden en kolay yolu arıyorlar. Bu basit hataları düzeltmek, Kubernetes güvenlik duruşunuzu iyileştirecek, kolay hedefler arayan bilgisayar korsanlarının cesaretini kıracak ve sizi daha iyi Kubernetes güvenliğine doğru yola koyacaktır.
Ben Hirschberg, Ar-Ge Başkan Yardımcısıdır. ARMO. Bulutta yerel güvenlik meraklısı olan bir siber güvenlik uzmanıdır ve ikili açıklardan yararlanma, tersine mühendislik ve ekip çalışması yazmayı sever. Etrafta bilgisayar olmadığında, Ben mutfakta yeni bir yemek hazırlarken veya en son satranç rakibinin zihnini tersine mühendislik yaparken bulunabilir.
–
New Tech Forum, ortaya çıkan kurumsal teknolojiyi benzeri görülmemiş bir derinlikte ve genişlikte keşfetmek ve tartışmak için bir alan sağlar. Seçim, önemli olduğuna inandığımız ve InfoWorld okuyucularının en çok ilgisini çeken teknolojileri seçmemize dayalı olarak özneldir. InfoWorld, yayın için pazarlama teminatı kabul etmez ve katkıda bulunan tüm içeriği düzenleme hakkını saklı tutar. Tüm sorularınızı [email protected] adresine gönderin.
Telif Hakkı © 2022 IDG Communications, Inc.
[ad_2]
Kaynak : https://www.infoworld.com/article/3667277/7-biggest-kubernetes-security-mistakes.html#tk.rss_all