Container güvenliği

GCP, GKE veya Anthos'taki container ortamınızın güvenliğini sağlayın.

Genel bakış

Container kullanmak, geliştirme ekiplerinin hızlı bir şekilde hareket etmesini, yazılımları verimli bir şekilde dağıtmasını ve benzeri görülmemiş bir ölçekte çalışmasını sağlar. İşletmeler daha fazla container kullanılan iş yükleri oluşturdukça, derleme ve dağıtım yaşam döngüsünün her aşamasında güvenlik sağlanmalıdır. Google Kubernetes Engine ya da Anthos fark etmeksizin, GCP'de çalıştırdığınız her container ortamını üç kritik alanda nasıl koruma altına alacağınızı öğrenin.

Altyapı güvenliği

Altyapı güvenliği, container yönetim platformunuzun doğru güvenlik özelliklerini sağlaması anlamına gelir. Kubernetes; kimliklerinizi, gizli anahtarlarınızı ve ağınızı korumak için güvenlik özellikleri sunar. Google Kubernetes Engine de iş yüklerinizde Google güvenliğinin en iyi özelliklerinden yararlanabilmeniz için Cloud IAM, Cloud Audit Logging ve Sanal Özel Bulutlar gibi yerel GCP işlevlerinin yanı sıra uygulama katmanında gizli anahtar şifreleme ve Workload Identity gibi GKE'ye özgü özellikler kullanır.

Yazılım tedarik zinciri

Yazılım tedarik zincirinin korumaya alınması, container görüntülerinin dağıtımının güvenli olduğu anlamına gelir. Böylece container görüntülerinizin güvenlik açıklarına karşı korumalı olduğundan ve derlediğiniz görüntülerin dağıtımdan önce değiştirilmediğinden emin olabilirsiniz.

Çalışma zamanı güvenliği

Çalışma zamanı güvenliği, üretimde kötü amaçlı işlemler yapan bir container'ı tespit etmenize ve iş yükünüzü korumak üzere harekete geçmenize olanak tanır.

Container çalıştırmak, tamamen farklı bir güvenlik modeli benimsemenize olanak tanır

Daha basit yama yönetimi ve değişmezlik

Daha basit yama yönetimi ve değişmezlik

Container'ların değişmez olması gerekir; bu nedenle değişiklik yapmak için yeni bir görüntü dağıtırsınız. Görüntülerinizi düzenli aralıklarla yeniden derleyerek yama yönetimini basitleştirebilirsiniz. Böylece yama, bir sonraki container dağıtımında alınır. Düzenli görüntü güvenliği incelemelerini kullanarak ortamınızla ilgili tüm bilgilere sahip olun.

Daha küçük saldırı yüzeyi

Daha küçük saldırı yüzeyi

Uygulamaya doğrudan dahil edilen daha fazla öğe olduğu için container'lar, sanal makinelere kıyasla çok daha küçük bir ana işletim sistemi üzerinde çalışacak şekilde tasarlanmıştır. Bu minimal ana işletim sistemi, iş yükünüz için potansiyel saldırı yüzeyini azaltır.

Kaynak ve iş yükü yalıtımı

Kaynak ve iş yükü yalıtımı

Container'lar; cgroup'lar ile ad alanlarını kullanarak, depolama birimleri gibi kaynakları belirli işlemlerden ayrı tutmak için kolay bir yol sunar. GKE Sandbox gibi teknolojilerle, iş yüklerini sanal makine alt öğesi olan bir korumalı alanda mantıksal olarak yalıtıp diğer uygulamalardan ayırabilirsiniz.

Altyapı güvenliği

Container altyapı güvenliği, geliştiricilerinizin container mimarisine alınmış hizmetleri güvenli bir şekilde derlemek için ihtiyaç duydukları araçlara sahip olmaları anlamına gelir. Bu özellikler, genellikle Kubernetes'te olduğu gibi container düzenleyicisine entegredir. Google Kubernetes Engine kullanıyorsanız bu işlev Google Cloud'un diğer özelliklerine ek olarak yerel şekilde sunulur.

Kimlik ve yetkilendirme

Google Kubernetes Engine'de projelerinize erişimi yönetmek için Cloud IAM'den, kümeleriniz ile ad alanlarınıza erişimi yönetmek için rol tabanlı erişim denetiminden (RBAC) yararlanabilirsiniz.

Denetleme günlüğü

Kubernetes'te API denetleme günlükleri otomatik olarak yakalanır. Google Kubernetes Engine'de Cloud Audit Logs, API denetleme günlüklerini sizin için otomatik olarak kaydeder.

Google Kubernetes Engine'de, kümenizdeki kapsülden kapsüle iletişimi yönetmek için bir ağ politikası oluşturun. Özel IP'ler için özel kümeler kullanın ve Google Kubernetes Engine kaynaklarını paylaşılan VPC'ye dahil edin.

Uygunluk

Google Kubernetes Engine ISO 27001, ISO 27017, ISO 27108, HIPAA ve PCI-DSS dahil birçok uygunluk sertifikasına sahiptir.

Minimal ana işletim sistemi

Google Kubernetes Engine varsayılan olarak, container çalıştırma amacıyla oluşturulmuş ve optimize edilmiş bir işletim sistemi olan Container için Optimize Edilmiş İşletim Sistemi (COS) kullanır. COS, Google tarafından açık kaynaklı olarak yönetilir.

Otomatik olarak yükseltilen bileşenler

GKE'de ana düğümler otomatik olarak en yeni Kubernetes sürümüne yama olarak uygulanır. En yeni yamaları düğümlerinize otomatik olarak uygulayıp güvenliğinizin güncel halde tutmak için otomatik düğüm yükseltme özelliğinden yararlanabilirsiniz.

Müşteri tarafından yönetilen şifreleme anahtarları

Yasal düzenlemelere tabi sektörlerde faaliyet gösteren kullanıcıların, GKE'de depolanan verileri şifrelemek için kullanılan anahtarlar üzerinde kontrole sahip olması gerekebilir. Müşteriler tarafından yönetilen şifreleme anahtarları sayesinde GKE kalıcı diskinizi korumak için Cloud KMS'den bir anahtar seçebilirsiniz.

Uygulama katmanında gizli anahtar şifreleme

Varsayılan olarak, Kubernetes gizli anahtarları şifrelenmemiş metin halinde depolanır. GKE, bu gizli anahtarları diskte şifreler ve kuruluş çalışanlarının erişmesi ihtimaline karşı bu verileri izler. Ancak yalnızca bu önlemin alınması, gizli anahtarları ortamınızda çalışan kötü amaçlı bir uygulamaya karşı korumak için yeterli olmayabilir. Uygulama katmanında gizli anahtar şifreleme, zarf şifrelemesi uygulayarak Cloud KMS'de yönettiğiniz bir anahtarla gizli anahtarlarınızı korur.

Workload Identity

Container mimarisine alınmış uygulamanızın, görevlerini yerine getirmesi için veritabanı gibi diğer hizmetlere bağlanması gerekebilir. Uygulamanız, bu hizmetleri kullanmadan önce kimliğini doğrulamalıdır. Workload Identity, kimlik doğrulama bilgilerini paylaşmak için Google tarafından yönetilen hizmet hesabını kullanır ve uygulama kimlik doğrulamasında en az ayrıcalık ilkelerini uygular.

Yönetilen SSL sertifikaları

GKE'de HTTPS yük dengeleyicilerinin bir SSL sertifikasıyla ilişkilendirilmesi gerekir. Bu sertifikaları kendiniz alabilir, yönetebilir ve yenileyebilirsiniz ya da Google'ın bu sertifikaları sizin adınıza otomatik olarak almasını, yönetmesini ve yenilemesini sağlayarak bunları yenileme zahmetinden veya yenilemeyi unutma derdinden kurtulabilirsiniz.

Yazılım tedarik zinciri

Yazılım tedarik zincirinde, ortamınızda tam olarak neyin dağıtıldığını bilmek önemlidir. Böylece uygulamalarınızı koddan görüntü ve dağıtıma kadar denetleyebilirsiniz. Bu işlevler tipik olarak CI/CD ardışık düzeninize, Google Container Registry gibi container kayıt defterinize dahil edilir ve container'ların üretime dağıtılmasından önce bir giriş kontrolü işlevi görür.

Güvenli ve yönetilen temel görüntüler

Google Container Registry, düzenli yama ve test ile Google tarafından yönetilen hem Debian hem de Ubuntu temel görüntüleri sunar. Google tarafından yönetilen bu görüntüler, üretimde sunulan en yeni yamalarla düzeltilir. Bu sayede görüntüleri bilinmeyen bir kod deposundan çekmek veya kendi ortamınızda depolamak zorunda kalmadan görüntülerinizin kolayca güncel kalmalarını sağlayabilirsiniz.

Güvenlik açığı taraması

Google Container Registry, görüntülerinizi ve paketlerinizi CVE veritabanındaki bilinen güvenlik açıklarına karşı taramak için güvenlik açığı taraması özelliği sunar.

Dağıtım politikaları

Google Kubernetes Engine'de bir görüntünün onaylarına dayanarak ortamınıza dağıtacağınız öğeleri sınırlandırmak için İkili Program Yetkilendirmesi'nden yararlanın. Görüntülerin dağıtımdan önce, onay veya imza yöntemleriyle sizin tarafınızdan belirlenen gereksinimleri karşılamasını zorunlu kılabilirsiniz. Gereksinimler arasında görüntünün güvenlik açıklarına karşı taranması veya kalite kontrol ekibi tarafından doğrulanması yer alabilir.

Düzenli derlemeler

Container'lar düzenli olarak yeniden derlenebilir ve yeniden dağıtılabilir. Böylece aşamalı olarak ortamınıza sunulan en yeni yamalardan faydalanabilirsiniz.

Çalışma zamanı güvenliği

Container çalışma zamanı güvenliğinde, güvenlik yanıt ekibinizin ortamınızda çalışan container'larla ilgili güvenlik tehditlerini algılayabilmesini ve yanıt verebilmesini sağlamak önemlidir. Bu beceriler, genellikle güvenlik işlemleri araçlarına entegredir.

İzleme

Google Kubernetes Engine, basit günlük analizi için Cloud Logging ile entegredir. Güvenlik işlemlerini Cloud Security Command Center'a (Cloud SCC) da yazabilirsiniz.

Anormal etkinlik algılaması

Saldırıları izlemek için Aqua Security, Capsule8, StackRox, Sysdig Secure ve Twistlock gibi iş ortaklarımızdan yararlanarak sonuçları Security Command Center'da görüntüleyin.

Güvenlik politikalarını uygulama

PodSecurityPolicy, açık kaynaklı Kubernetes'in bir özelliğidir. Bu özellik, kapsüllerinizin çalışma şekliyle ilgili kısıtlamalar (ör. AppArmor ve seccomp gibi kısıtlamaların uygulanması) belirleyerek container'larınız için koruyucular oluşturmanıza yardımcı olur.

Yalıtım

Kötü amaçlı bir container'ın diğerlerini etkilemesini önleyin. GKE Sandbox, syscall'lara müdahale etmek ve bunları yönetmek için kullanıcı alanı çekirdeğini kullanır. Böylece geliştiricilerin uygulamalarıyla etkileşim şeklini değiştirmeden container'larınızda derinlemesine savunma uygulayabilirsiniz. GKE Sandbox, Google'da oluşturulan gVisor adlı açık kaynak projesini temel alır.

Kaynaklar

Container güvenliği ile ilgili daha fazla bilgi edinin.

Google Cloud

Başlayın

Öğrenin ve derleyin

GCP'de yeni misiniz? 300 ABD doları tutarında krediyle dilediğiniz GCP ürününü ücretsiz kullanmaya başlayın.

Daha fazla yardıma mı ihtiyacınız var?

Uzmanlarımız doğru çözümü oluşturmanıza veya ihtiyaçlarınıza uygun iş ortağını bulmanıza yardımcı olabilir.