Container güvenliği

Container ortamınızı GCP'de koruma altına alın.

Genel Bakış

Container kullanmak, geliştirme ekiplerinin hızlı bir şekilde hareket etmesini, yazılımları verimli bir şekilde dağıtmasını ve benzeri görülmemiş bir ölçekte çalışmasını sağlar. İşletmeler daha fazla container kullanılan iş yükleri oluşturdukça, geliştirme ve dağıtım yaşam döngüsünün her aşamasında güvenlik sağlanmalıdır. GCP'deki container ortamınızı üç kritik alanda nasıl koruma altına alacağınızı öğrenin.

Altyapı güvenliği

Altyapı güvenliği, container yönetim platformunuzun doğru güvenlik özelliklerini sağlaması anlamına gelir. Kubernetes; kimliklerinizi, gizli anahtarlarınızı ve ağınızı korumak için güvenlik özellikleri sunar ve Kubernetes Engine de iş yüklerinize Google güvenliğini en iyi şekilde getirmek için Cloud IAM, Cloud Audit Logging ve Sanal Özel Bulutlar gibi yerel GCP işlevleri kullanır.

Yazılım tedarik zinciri

Yazılım tedarik zincirinin korumaya alınması, container görüntülerinin dağıtımının güvenli olduğu anlamına gelir. Böylece container görüntülerinizin güvenlik açıklarına karşı korumalı olduğundan ve oluşturduğunuz görüntülerin dağıtımdan önce değiştirilmediğinden emin olabilirsiniz.

Çalışma zamanı güvenliği

Çalışma zamanı güvenliği, üretimde kötü amaçlı işlemler yapan bir container'ı tespit etmenize ve iş yükünüzü korumak üzere harekete geçmenize olanak tanır.

Container çalıştırmak, tamamen farklı bir güvenlik modeli benimsemenize olanak tanır

Daha basit yama yönetimi ve değişmezlik

Daha basit yama yönetimi ve değişmezlik

Container'ların değişmez olması gerekir; bu nedenle değişiklik yapmak için yeni bir görüntü dağıtırsınız. Görüntülerinizi düzenli olarak yeniden oluşturarak yama yönetimini basitleştirebilirsiniz. Böylece yama, bir sonraki container dağıtımında alınır. Düzenli görüntü güvenliği incelemeleriyle ortamınıza dair tüm bilgilere sahip olun.

Daha küçük saldırı yüzeyi

Daha küçük saldırı yüzeyi

Uygulamaya doğrudan paketlenen daha fazla öğe olduğu için container'ların sanal makinelere kıyasla çok daha küçük bir ana işletim sistemi üzerinde çalışması amaçlanmıştır. Bu minimal ana işletim sistemi, iş yükünüz için potansiyel saldırı yüzeyini azaltır.

Kaynak ve iş yükü yalıtımı

Kaynak ve iş yükü yalıtımı

Container'lar; cgroup'lar ile ad alanlarını kullanarak, depolama birimleri gibi kaynakları belirli işlemlerden ayrı tutmak için kolay bir yol sunar. gVisor gibi teknolojilerle, iş yüklerini sanal makine alt öğesi olan bir korumalı alanda mantıksal olarak yalıtarak diğer uygulamalardan ayırabilirsiniz.

Altyapı güvenliği

Container altyapı güvenliği, geliştiricilerinizin container kullanan hizmetleri güvenli bir şekilde oluşturmak için ihtiyaç duydukları araçlara sahip olmaları anlamına gelir. Bu özellikler tipik olarak Kubernetes gibi container düzenleyicisine dahil edilir. Kubernetes Engine kullanıyorsanız bu işlev Google Cloud'un diğer özelliklerine ek olarak yerel şekilde sunulur.

Kimlik ve yetkilendirme

Kubernetes Engine'de projelerinize erişimi yönetmek için Cloud IAM, kümeleriniz ile ad alanlarınıza erişimi yönetmek için rol tabanlı erişim denetimini (RBAC) kullanabilirsiniz.

Denetleme günlük kaydı

Kubernetes'te API denetleme günlükleri otomatik olarak yakalanır. Kubernetes Engine'de Cloud Audit Logging API denetleme günlüklerini sizin için otomatik olarak kaydeder.

Ağ İletişimi

Kubernetes Engine'de, kümenizde kapsülden kapsüle iletişimi yönetmek için bir ağ politikası oluşturun. Özel IP'ler için özel kümeler kullanın ve Kubernetes Engine kaynaklarını bir paylaşılan VPC'ye dahil edin.

Uygunluk

Kubernetes Engine; ISO 27001, ISO 27017, ISO 27108, HIPAA ve PCI-DSS dahil birçok uygunluk sertifikasına sahiptir.

Minimal ana işletim sistemi

Kubernetes Engine varsayılan olarak, container çalıştırma amacıyla oluşturulmuş ve optimize edilmiş bir işletim sistemi olan Container için Optimize Edilmiş İşletim Sistemi (COS) kullanır. COS, Google tarafından açık kaynaklı olarak yönetilir.

Güncel bileşenler

Kubernetes Engine'de ana düğümler otomatik olarak en yeni Kubernetes sürümüne yama olarak uygulanır. Düğümleriniz için otomatik düğüm yükseltme özelliğinden yararlanabilirsiniz.

Yazılım tedarik zinciri

Yazılım tedarik zincirinde, ortamınızda tam olarak neyin dağıtıldığını bilmek önemlidir. Böylece uygulamalarınızı koddan görüntüye ve dağıtıma kadar denetleyebilirsiniz. Bu işlevler tipik olarak CI/CD ardışık düzeninize, Google Container Registry gibi container kayıt defterinize dahil edilir ve container'ların üretime dağıtılmasından önce bir giriş kontrolü işlevi görür.

Güvenli temel görüntüler

Google Container Registry, düzenli yama ve test ile Google tarafından yönetilen hem Debian hem de Ubuntu temel görüntüleri sunar.

Güvenlik açığı taraması

Google Container Registry, görüntülerinizi ve paketlerinizi CVE veritabanındaki bilinen güvenlik açıklarına karşı taramak için güvenlik açığı taraması özelliği sunar.

Dağıtım politikaları

Kubernetes Engine'de bir görüntünün onaylarına dayanarak ortamınıza dağıtacağınız öğeleri sınırlandırmak için İkili Program Yetkilendirmesi'nden yararlanın.

Düzenli derlemeler

Container'lar düzenli olarak yeniden oluşturulabilir ve yeniden dağıtılabilir. Böylece aşamalı olarak ortamınıza sunulan en yeni yamalardan faydalanabilirsiniz.

Çalışma zamanı güvenliği

Container çalışma zamanı güvenliğinde, güvenlik yanıt ekibinizin ortamınızda çalışan container'lara gelen güvenlik tehditlerini algılayabilmesini ve yanıt verebilmesini sağlamak önemlidir. Bu beceriler tipik olarak güvenlik işlemleri araçlarına entegredir.

İzleme

Kubernetes Engine, daha basit günlük analizi için Stackdriver ile entegredir. Güvenlik işlemlerini Cloud Security Command Center'a (Cloud SCC) da yazabilirsiniz.

Anormal etkinlik algılaması

Saldırıları izlemek için Aqua Security, Capsule8, StackRox, Sysdig Secure ve Twistlock gibi iş ortaklarımızdan yararlanın ve sonuçları Cloud SCC'de görüntüleyin.

Yalıtım

Kötü amaçlı bir container'ın diğerlerini etkilemesini önleyin. Container'larda daha güçlü güvenlik yalıtımı sağlamak için bir container çalışma zamanı korumalı alanı olan gVisor kullanın.

Kaynaklar

Container güvenliği ile ilgili daha fazla bilgi edinin.

Kubernetes Engine güvenliğine genel bakış

Kubernetes Engine güçlendirme rehberi

Container güvenliği blog serisi

NIST SP 800-190: Uygulama Container'ı Güvenlik Rehberi

KubeCon 2017 konuşması: Korsanların gezindiği sulara hakim olmak

Google Cloud

Başlayın

Öğrenin ve derleyin

GCP'de yeni misiniz? 300 ABD doları tutarında krediyle herhangi bir GCP ürününü ücretsiz kullanmaya başlayın.

Daha fazla yardıma mı ihtiyacınız var?

Uzmanlarımız doğru çözümü oluşturmanıza veya ihtiyaçlarınıza uygun iş ortağını bulmanıza yardımcı olabilir.