Goddess Art
Goddess Art

Merhaba;

Bugün sizinle beni oldukça heyecanlandıran ve elbette bir o kadar da mutlu eden önemli bir konuyu paylaşmak istiyorum.  Red Hat, Kubernetes yerel güvenlik lideri StackRox’u satın aldı.

No alt text provided for this image

Red Hat, bu alım ile müşterilerin; uygulamaları, açık hibrit bulut üzerinde daha güvenli bir şekilde oluşturma, dağıtma ve çalıştırma yeteneklerini güçlendirmeyi hedefliyor.

StackRox Kubernetes Güvenlik Platformu, konteyner ve Kubernetes yapılarımıza görünürlüğü artırmak, güvenlik açıklarımızı ve yanlış yapılandırmalarımızı belirlemek, CIS, NIST, PCI ve HIPAA uyumluluk gereksinimlerimizi karşılamak, dağıtık iş yüklerimizi çalışma zamanında güvence altına almak için bize güçlü bir yapı sunuyor.

StackRox, DevOps iş akışlarımızı güvence altına almak ve geliştirmek için konteyner ve Kubernetes ekosistemindeki hizmetler ve araçlarla entegre olabilen zengin bir API ve önceden oluşturulmuş eklentiler sağlamaktadır, Şekil 1 ve Şekil 2.

No alt text provided for this image

Şekil 1. Konteyner platformları, kayıt alanalrı, imaj tarayıcılar.

No alt text provided for this image

Şekil 2. CI/CD araçları, iş akış eklentileri.

StackRox’un Kubernetes ile entegrasyonu sayesinde, güvenlik ve DevOps ekiplerine,  konteynerler, podlar, ad alanları (“namespaces”), cluster ve bunların yapılandırmaları da dahil olmak üzere altyapılar hakkında kapsamlı bir görüntü sağlar. Nerdeyse tüm “registry”leri desteklemesi ve yerel entegrasyona izin vermesi nedeniyle, konteyner imajlarını kolayca tanımlayabilir ve analiz edebilirsiniz.

Ayrıntılı ağ görünürlüğü sağlar. Hangi CNI eklentisini kullanmayı seçerseniz seçin, tüm Kubernetes kümelerindeki ad alanlarını, dağıtımları ve podları kapsayan ağ trafiğini keşfedebilmekte ve görüntüleyebilmektedir. Istio ile entegrasyonu sayesinde, Istio hizmetleri arasındaki trafiğin görselleştirilmesini de sağlayabilmektedir. StackRox, CIS Benchmarklarındaki kontrolleri, Docker ve Kubernetes üzerinde yapabilmektedir.

Bir konteyner konfigürasyonunda neyin risk oluşturduğu, o konteynerin test ortamında mı yoksa üretim ortamında mı çalıştığına bağlı olarak değişebilir. Örneğin, test ortamını ayrıcalıklı modda çalıştırmak sorun oluşturmazken, üretim ortamında yüksek risk oluşturabilir. StackRox, test ve üretim ortamı dağıtımlarıyla ilgili bilgileri bir araya getirerek çalışan tüm dağıtımların, proseslerinin ve ağ iletişimlerinin kapsamlı bir görünümünü sağlayabilmektedir.

Uyumlu olmayan iş yüklerini tespit etmek, riskli yapılandırmaları ortaya çıkarmak için binlerce dağıtımı kolayca tarayabilmemize ve hızlı aksiyon alabilmemize olanak sağlaması, konteyner yapılarının yönetilmesinde olmaz ise olmazlarımızdandır.

Esnek imaj tarama özellikleri sayesinde, Anchore, Google Cloud Container Analysis, Quay veya başka bir çözüm gibi mevcut tarama çözümlerinizle de entegre olabilmektedir. Hızlı, zengin arama fonksiyonlarıyla, tüm ortamınızda güvenlik açıklarının hızlı numaralandırılması, filtrelenmesi ve keşfedilmesini sağlayarak güvenlik açıklarını daha hızlı bulup ele almanıza, incelemenize olanak tanır.

Kodunuz çok tehlikeli bir açık içerebilir. Gerekli uyarıları yapabilmek, gerekli aksiyonları aldırabilmek için CI/CD süreçlerinizle entegre olur. Geliştiriciye, yapının neden başarısız olduğu ve nasıl düzeltileceği konusunda ayrıntılı bilgi sağlayabilir.

Çalışma zamanı güvenlik açığı keşfi özelliği ile, çalıştırdığınız dağıtımlarınızın güvenlik açıklarını gerçek zamanlı olarak tanımlayabilirsiniz.

Çoğu şirket, endüstri standartlarına bağlı kalmanın ötesinde, yapılandırmalar ve diğer en iyi uygulamalar için bir dizi dahili politika da tanımlamaktadır. Ekiplerinizin kendi politikalarınızı ihlal eden varlıklar oluşturmasını veya dağıtmasını önleyen özel kuralları StackRox ile oluşturabilirsiniz.

Bu sayede, özel ihtiyaçlarımızı karşılayacak şekilde uyarlayabileceğimiz sürekli ve isteğe bağlı uyumluluk kontrolleri ile StackRox, hem gerekli kontrolleri uygulamamızı hem de denetçilerimizin talep ettiği kapsamlı kanıtları sağlamamızı kolaylaştırmaktadır.

Ağ politikaları için Kubernetes’e yerleştiren YAML dosyalarının yorumlanması zor olabilir. StackRox, hem izin verilen hem de aktif ağ trafiğini görselleştirebilmekte, böylece daha güvenli ağ yapılandırmaları oluşturmanıza olanak sağlamaktadır.

Dikkat çekici bir özellik olarak StackRox Kubernetes Ağ Politikası Simülatörü, uygulamalarınızdaki operasyonel riski en aza indirmek için ortamınızdaki ağ politikası değişikliklerinin etkisini anlamanızı kolaylaştırmaktadır.

Geniş ölçekte risk önceliklendirme yeteneğiyle, StackRox, size uzun bir güvenlik açıkları listesi vermek yerine, çalışan dağıtımlarınızı bütüncül bakış açısıyla güvenlik risklerine göre sıralar ve anında ilgilenilmesi gereken güvenlik açıkları, yapılandırmalar ve çalışma zamanı etkinlikleri hakkında somut ayrıntılar sağlar.

StackRox, Kubernetes ile güçlü bir entegrasyon sağladığı için, ağ yapılandırması, yanlış yapılandırmalar, test ve üretim ortamı dağıtımlarının karşılaştırması, sırlara (“secret”) erişim, ayrıcalıklı modda çalışma, şüpheli proseslerin çalışması gibi pek çok etkeni bütüncül bakış açısıyla analiz eder, aralarındaki bağlantıları kurarak, dağıtımları en çok riskli olandan en az riskli olana doğru sıralar.

StackRox, kullanıcı ve hizmet hesabı ayrıcalıklarını anlamak için Kubernetes Rol Tabanlı Erişim Kontrolü (RBAC) ayarlarını analiz eder, analiz sonucuna göre yanlış yapılandırmaları belirler ve risk değerlendirilmesi için gerekli bilgilendirmeleri yapabilmektedir.

Kubernetes ortamlarımızda, “secret”lerimizi korumak çok önemlidir. StackRox, Kubernetes sırlarını ve bunları hangi dağıtımların kullandığını izleyerek gereksiz erişimi ve kötüye kullanımı proaktif olarak sınırlayabilmektedir.

StackRox’un tehdit algılama yeteneği oldukça gelişmiş durumda. Çalışma zamanında oluşacak tehditleri belirlemek için kuralları, beyaz listeleri, temelleri ve davranış modellemesini birleştirebilmektedir. Her konteyner için sistem düzeyinde olayları izler, toplar ve değerlendirir.

Önceden yapılandırılmış tehdit profillerinden yararlanabilirsiniz. StackRox, kripto para birimi madenciliği, ayrıcalık yükseltme ve çeşitli istismarlar dahil olmak üzere tehditleri tespit etmek için önceden tanımlanmış politikaları uygulayabilir.

StackRox ile, izin verme listesi sürecini otomatikleştirebilirsiniz. Bu sayede manuel listeleme zorunluluğunu ortadan kaldırabilirsiniz. Çalışma zamanı korumalarını güçlendirmek için, konteyner yaşam döngüsünün derleme ve devreye alma aşamalarından bilgi alan tek konteyner güvenlik platformunu sağlar. Sonuç olarak, StackRox platformu sürekli olarak kendi kendini geliştirir ve ortamınızda sürekli güçlendirme sağlar.

Yazılım Mühendisliği Direktörü, Clif Dawes’in şu ifadesi çok hoşuma gitti: Derleme aşamasında doğru şeylerin gerçekleştiğini bildiğimizde, StackRox’ın çalışma zamanı kontrollerini sigorta olarak kullanarak üretim ortamında çalıştırma zamanı geldiğinde daha iyi uyuyabiliriz.

StackRox platformu, şüpheli çalışma zamanı davranışını belirlemek için anormallik algılaması uygular ve bu algılamanın bir sonucu olarakta bir dizi aksiyonu/yanıtı destekler. Bu durumlarda alarm üremesini sağlayabilirsiniz veya pod/konteynerleri sonlandırabilirsiniz.

StackRox, adli bilimi kolaylaştıran güçlü yetenekler de sağlamaktadır. Şüpheli dosyalarla ilgili işlemleri, dosyalarala ilgili şüpheli işlemleri veya başlatılan herhangi bir şüpheli işlemi anlamak için her olayı ayrıntılı olarak inceleyebilirsiniz.

Splunk, Sumo Logic, PagerDuty, Google Cloud Security Command Center ve diğer iş ortağı çözümleriyle yerel entegrasyonlar yaparak daha iyi güvenlik bilgileri elde etmek ve daha etkili olay müdahalesi yapabilmek için StackRox’tan gelen verileri toplayıp, ilişkilendirip analiz edebilirsiniz.

Bulut operasyonları başkanı Kamran Chaudry şöyle diyor: StackRox, uygulama geliştirmemizin her aşamasında bizi korur, onaylanmamış derlemeleri ve yanlış yapılandırılmış dağıtımları önler ve anormal davranışları hızla saptamak ve durdurmak için Kubernetes’teki ayrıntıları kullanır.

StackRox, güçlü, taşınabilir ve ölçeklenebilir özellikleriyle öne çıkıyor. Hem DevOps hem de Güvenlik ekipleri aynı görünümde çalışır ve aynı kontrollerden faydalanır.

StackRox, güvenliği her zaman iyileştirmek için CI/CD modelini uygulamaktadır. Derleme ve dağıtım sırasında topladığı veriler, çalışma zamanında ne izlediğini etkiler ve çalışma zamanında gözlemlediği açıklardan öğrendiklerini; derleme ve dağıtım sırasında yapılandırmaları daha da sıkılaştırmak için uygular.

Sizlerinde kabul edeceği gibi açıkcası StackRox’un özellikleri oldukça etkileyici. Kendi ortamımda testlerini yapmak için girişimlere başladım. Ikinci yazımda Red Hat OCP üzerinde nasıl kuruyoruz, ne şekilde yapılandırıyoruz, entegrasyonu nasıl gibi konularda bilgi vermeyi planlıyorum.

6 Mart 2021 Cumartesi – Asiye Yiğit