konteynerler
Kaspersky ürün yelpazesindeki çeşitli araçlar arasında, konteyner tabanlı ortamların güvenliğini sağlamak için özel olarak tasarlanmış bir platform yer alır. Ancak bu yazıda, Kaspersky Container Security (KCS) hakkında konuşmak istiyorum. Bunu bir satıcı temsilcisi olarak değil, günlük işlerinde bu çözümü aktif olarak kullanan bir ekibin üyesi olarak yapacağım. Ürün Güvenliği Ekibimiz, şirket genelinde güvenli geliştirme süreçleri oluşturmaktan sorumludur. Yazılım geliştirme yaşam döngüsünün her aşamasında yer alıyoruz ve önceliğimiz, ürün ekiplerinin güvenlik sorunlarını erken aşamada tespit etmelerine yardımcı olarak sürümlerini planlanan takvime uygun şekilde yayınlayabilmelerini sağlamaktır. Bunu başarmak için çeşitli iş akışları oluşturduk; bunlardan biri özellikle konteyner güvenliğine odaklanıyor. İşte tam da bu noktada kendi Kaspersky Container Security platformumuza güveniyoruz.
Konteyner güvenlik çözümleri genellikle öncelikle konteyner kayıt defteri için görüntü tarayıcıları olarak görülür. Bununla birlikte, Kaspersky Container Security (KCS); konteyner iş akışına uçtan uca entegrasyonu sayesinde çok sayıda görevi yerine getiren, konteyner ortamları için daha kapsamlı bir güvenlik platformudur. Her ne kadar bu, kuşkusuz önemli olan bir konteyner görüntü tarama senaryosunu da içerse de, KCS ile edindiğimiz deneyim, bu sistemin gerçek değerinin ancak iş akışının çeşitli aşamalarına aynı anda entegre edildiğinde ortaya çıktığını göstermiştir:
- Düzenli derlemeler
- Sürüm yayınlama veya dağıtım öncesinde ürün doğrulaması
- Kümedeki halihazırda çalışmakta olan konteynerlerin izlenmesi
Temel senaryo: KCS görüntüleri nasıl tarar?
Temelde, bu süreç standart bir süreçtir. KCS, görüntülerde; bilinen güvenlik açıkları, kötü amaçlı yazılımlar, sabit kodlanmış gizli bilgiler ve yanlış yapılandırmalar gibi tipik konteyner sorunlarını kontrol eder. Ancak tarama sonucu, tek başına soyut bir sonuç değildir. Sistem, elde edilen bulgulara dayanarak bir risk derecesi hesaplar ve varlığın güvenlik durumuna ilişkin net bir tablo sunar. Uygulamada bu son derece yararlıdır, çünkü ekipler sadece “hatalı görüntü” uyarısı görmekle kalmaz; riskin tam olarak neyden kaynaklandığını ve öncelikle nelerin düzeltilmesi gerektiğini gösteren net bir ayrıntılı bilgi de alırlar.
Ama hepsi bu kadar değil. KCS; sadece bir sorunu tespit etmenin yeterli olmadığı ve sorunu yapının yaşam döngüsüyle ilişkilendirmenin gerekli olduğu durumlarda oldukça etkilidir. Bir ekip yüzlerce derlemeyi yönetiyorsa, düzenli kayıt defteri taramaları yeterli olmaz ve bu durum neredeyse her zaman manuel müdahale gerektirir. Hangi sürecin riski ortaya çıkardığını, hangi ilkelerin devreye girdiğini ve bundan sonra atılması gereken adımların neler olduğunu bilmeniz gerekir. KCS bu hayati bağlantıyı sağlar.
Gelişmiş senaryo: CI/CD entegrasyonu
KCS’nin pek bilinmeyen özelliklerinden biri, CI/CD süreçleri içinde tam kapsamlı tarama yeteneğidir. Ekibimiz için KCS’yi kullanmanın en etkili yolu budur. Mantık oldukça basittir: Tarayıcıyı sürece entegre edersiniz ve tarama sonuçları doğrudan yürütme günlüklerinde görünür. Bu veriler aynı zamanda çözümün merkezi konsoluna da gönderilir ve burada, bulguları yapı ögesi adına, tarama zamanına, sürece ve önem derecesine bağlayan özel bir CI/CD bölümünde kaydedilir.
Bir CI/CD ortamında, görüntüleri tar arşivlerinden veya doğrudan Git depolarından tarayabilirsiniz. Kutudan çıktığı haliyle GitLab, Jenkins, TeamCity ve GitHub Actions’ı destekler; pratikte ise KCS herhangi bir süreç düzenleyicisiyle entegre edilebilir.
CI/CD’de KCS kullanımının bir diğer önemli yönü güvenlik ilkeleriyle ilgilidir. Çözümümüz, ilkelerin yalnızca sonuçların toplanmasına değil, aynı zamanda sürecin kendisinin davranışının da kontrol edilmesine olanak tanıyan bir model kullanır. Bu, aşamalı uygulamalar için oldukça kullanışlıdır. Denetim modunda başlayabilir ve gizli bilgiler, kritik yapılandırma hataları veya güvenlik açıkları tespit edildiğinde kademeli olarak başarısız derlemelere geçebilirsiniz. Bu aşamalı yaklaşım, genellikle her şeyi tek seferde engellemek için bir düğmeye basmaktan daha etkili olur.
KCS iş akışlarımızda nasıl yardımcı olur?
Kendi bileşim analiz sistemimizi kullanırız; bu nedenle KCS’yi tek bir doğru kaynak olarak görmeyiz. Bunun yerine, iş akışlarımızda güçlü bir ek katman işlevi görür ve işte tam da bu noktada en büyük değeri bulur.
Şirket içi bileşen analiz sistemimiz bileşen takibi, bağımlılıklar ve kod düzeyinde risk değerlendirmesini üstlenirken, KCS konteyner sınırlarının güvenliğini sağlamada üstün bir performans sergiler. Teknik görüntü tarama ve CI/CD güvenliğini sağlarken, konteyner ögeleriyle ilgili raporları derler. Bu, bizim iç analizimizle çelişmez; tam da konteynerlerin gerçek iş yüklerini aldığı noktada bu analizi destekler.
Bu durum, bizim için özellikle iki senaryoda oldukça yararlıdır. Öncelikle, geliştirme sürecinde erken aşamada hata kontrolü sağlar. İkincisi, ürün kabulü sırasında bir denetleyici görevi görür. Artık sürümün yayınlanmasından bir süre sonra riskleri tartışmıyoruz; bunları, ekibin uzun bir onay sürecine gerek kalmadan bir Dockerfile, Helm şeması veya yapılandırma setini hâlâ hızla düzeltebileceği tam o noktada tespit ediyoruz.
Yazılım malzeme listesini (SBOM) işleme şekli de dikkat çekicidir. Sistemimiz öncelikle güncel ve ilgili SBOM’lere dayanmaktadır. KCS, SBOM’leri işlemek için özel modlar sunar ve hatta tarama sonuçlarını aynı formatta çıktı olarak verebilir. Bu bağlamda, KCS iç süreçlerimizle sorunsuz bir şekilde entegre olur ve bu sayede iş akışlarımızı uyarlamak yerine onu mevcut iş akışlarımıza uyarlayabiliriz.
Neden KCS bizim için sıradan bir tarayıcıdan çok daha fazlasıdır?
KCS’nin başka bir güçlü özelliği de küme güvenliğidir. Bu aşamada KCS, sadece bir görüntü tarama aracı olmanın ötesine geçer. Konteynerler ve düğümler için çalışma zamanı ilkeleri, denetim ve engelleme modları ile bir dizi güvenlik profili içerir. Pratik olarak bu, KCS’nin yalnızca bir görüntüdeki güvenlik açıklarını tespit etmek için değil, aynı zamanda konteynerin canlı ortama geçtiğinde gerçekte ne yaptığını izlemek için de kullanılabileceği anlamına gelir. İlkeler, görüntünün kaynağını, dijital imzaları, kapasite ve hacim kısıtlamalarını ve hatta konteyner içinde çalışan süreçleri ve ağ bağlantılarını kapsayabilir.
Bir sorun tespit edildiğinde, işlemi hemen durdurmak yerine sonuçları önce denetim modunda kaydetme seçeneğiniz vardır. Üretim ortamlarında bu her zaman daha akıllıca bir tercihtir. Bir diğer hayati araç ise güvenilir görüntü kaynağını garanti etmektir. KCS, dijital imza doğrulamasını desteklemektedir; bu sayede odak noktası, sadece CVE’leri tespit etmekten şirketin tüm yazılım tedarik zincirinin güvenliğini sağlamaya kaymaktadır.
Raporlama özellikleri
KCS, tespit ettiği sorunları sadece görüntülemekle kalmaz; aynı zamanda kapsamlı bir raporlama kaynağı işlevi de görür. Görüntüler, kabul edilen riskler ve Kubernetes performans karşılaştırmaları hakkında raporlar oluşturabilir.
Oluşturulan raporlar HTML, PDF, CSV, JSON ve XML formatlarında sunulur; ayrıntılı raporlama için SARIF formatı da özel olarak desteklenir ve bu, AppSec iş akışlarına entegrasyon için idealdir. Yukarıda bahsedilen SBOM’lara gelince, tarama senaryoları CycloneDX ve SPDX formatlarında çıktı ve sonuçlar üretebilir; bu da mevcut süreçlere entegrasyonu kolaylaştırır.
Neden KCS’yi kullanmaya devam ediyoruz?
Basitçe söylemek gerekirse, KCS iş akışlarımızı mükemmel bir şekilde tamamlar. Bunun nedeni, her sorunu çözmesi değil, mühendislik senaryolarına son derece etkili bir şekilde entegre olmasıdır.
Ürün ekibinin geri bildirimlerimizi dikkate almasını da takdir ediyoruz. KCS ekibi, bizim pratik operasyonel taleplerimizi geliştirme yol haritasına gerçekten dahil eder. Örneğin, KCS’ye, edindiğimiz pratik deneyimlerin doğrudan bir sonucu olarak derinlemesine SBOM entegrasyonu ve belirli rapor türleri eklendi.
Özetle, doğru bir şekilde entegre edildiğinde Kaspersky Container Security, temel konteyner taramasından CI/CD ve küme güvenliğine kadar birçok alanı aynı anda kapsamaya yardımcı olur ve deneyimlerimize göre, canlı bir konteyner ekosisteminde gerçek bir değer katmaktadır. Çözüm hakkında daha fazla bilgiyi resmi KCS sayfasında bulabilirsiniz.
İpuçları