Konteyner güvenliği 2020’den beri nasıl değişti ve biz bunu çok mu ileri götürdük?

Kapsayıcıların benimsenmesinde devam eden büyümeyle birlikte, Haziran 2020’de Computer Weekly için bir Security Think Tank sütununda CISO’ların güvende olduklarından emin olmak için ne yapmaları gerektiğine baktık.

Son iki yılda konteynerizasyon önemli ölçüde yayılmaya devam etti – Gartner 2020’de, o sırada %30’dan 2022’nin sonunda küresel kuruluşların %75’i tarafından benimseneceğini tahmin etti. Daha geleneksel bir işletim sistemi tabanlı sanallaştırmaya kıyasla sağladığı verimlilik, popülaritesine büyük ölçüde yardımcı olur.

İkincisi, hiç kullanılmayan uygulamalar tarafından tüketilen çok fazla bellek ve disk alanı vb. ile sonuçlanır. Buna karşılık, kapsayıcı tabanlı bir yaklaşım, sanallaştırmayı daha küçük bileşenlere böler ve yalnızca ihtiyaç duyulanı dağıtır, böylece gereken ilgili bilgi işlem alanını ve süresini azaltır.

Ancak kapsayıcılar artık uygulamaları dağıtmanın en popüler yollarından biri olsa da, kullanımlarıyla ilgili en iyi güvenlik uygulamaları ve ilkelerinin benimsenmesi ve uygulanması devam etmedi. Konteynerlerin modüler yapısı, birleştirildiklerinde uygulanacak olan “çevreleme” güvenliği kapsamına girmedikleri anlamına gelebilir. Başka bir deyişle, bu kadar küçük işlevlere odaklanıldığında güvenlik denklemin dışında kalabilir.

Bu, konteyner güvenliğinin, her bileşene özel, ancak aynı zamanda daha geniş bir bağlamda ayrıntılı bir düzeyde ele alınması gerekliliğine işaret eder. Bu nedenle, bir kuruluşun genel güvenlik kültürünün ayrılmaz bir unsuru olması gerekir. Bu, kapsayıcı dağıtım ortamının güvenliğini sağlamayı ve şirket ilkelerine, en iyi uygulamalara ve bulut güvenlik çözümlerinin giderek artan şekilde benimsenmesine bağlı olarak desteklenen, kapsayıcıyı oluşturmak için kullanılan dosya katmanları olan güvenilir görüntülerin kullanılmasını içerir.

Gerçekten de, konteynerleştirme, güvenlik üzerine odaklanıyor ve daha yeni, son derece dinamik altyapı ve BT hizmetlerini korumanın zorluklarını vurgulamaya devam ederken, bunu geleneksel, sabit varlıklar etrafında oluşturulan koruma stratejileriyle harmanlıyor.

Konteyner hizmetlerinin amaçlandığı gibi, kötüye kullanım veya beklenmeyen sonuçlar için mümkün olan en az boşlukla çalışmasını sağlamak, siber güvenlik ekiplerinin BT uygulamaları ve hizmetlerinin karşılaştığı tehditler ve güvenlik açıkları üzerinde görünürlüğe sahip olmasını gerektirir. Bu, olası saldırıları izlemelerini ve bunlara karşı önlem almalarını ve ayrıca yeni ve ortaya çıkan tehditleri belirlemelerini sağlar.

Tasarım gereği güvenli, en az ayrıcalık ve sıfır güven

Tasarım gereği güvenli, en az ayrıcalık ve sıfır güven yaklaşımı gibi en iyi uygulamalar da gereklidir.

DevSecOps, güvenliğin önemini herkesin alanına getirdiği için güvenli tasarım yaklaşımının önemli bir parçasıdır. DevOps, bina uygulamalarının geliştirme ve operasyon unsurlarını sürekli bir yaşam döngüsünde birleştirerek, onları bir olarak görmek için iki taraf arasındaki çizgiyi çözmeye başlar.

DevSecOps, (diğerlerinin yanı sıra) tehdit modelleme, statik ve dinamik kod inceleme, kapsayıcı güvenlik yapılandırması, güvenlik açığı değerlendirmesi, güvenlik izleme ve erişim kontrolü dahil olmak üzere güvenliği bu yaşam döngüsüne dahil eder. Bu, güvenliğin geliştirme ve operasyon yaşam döngüsünün her aşamasına dahil edilmesiyle sonuçlanır. Bu çevik yaklaşımda, bu döngünün güvenli hale getirilmesinde herkese görev düşüyor, herkesin sorumluluğu var ve herkesin görünürlüğü var.

Güvenliğe sıfır güven yolu kullanan kuruluşlar, ağa erişen herhangi bir kullanıcı veya cihazın kimliğinin kimliğinin doğrulanmasını, yetkilendirilmesini ve sürekli olarak doğrulanmasını sağlar. Erişime izin verildiğinden ve söz konusu uygulamanın amaçlanan amaç için konuşlandırıldığından emin olmak için her kullanıma sunulduğunda güvenlik kontrolleri yapılabileceğinden, bu yaklaşım daha küçük modüller veya kapsayıcılar için uygundur.

Dinamik hizmetlere (gerektiğinde dağıtılan ve ölçeklenen uygulamalar) erişimi bir kapsayıcı düzeyinde kontrol etmek, yalnızca dinamik, yazılım tanımlı destek hizmetleriyle mümkündür. Örneğin, mikro segmentasyon, yazılım aracılığıyla bağlanması gereken noktalar arasında ağlar oluşturur. Bu ağ kesimleri yalnızca bağlantının gerekli olduğu süre boyunca mevcuttur.

Kısacası, talepte bulunan kullanıcının veya cihazın kimliğini sürekli olarak doğrulamak, kullanıcıların yalnızca işlerini yapmak için ihtiyaç duydukları şeylere erişebilmeleri için en az ayrıcalık ilkesini benimsemek ve politika tabanlı (yazılım- tanımlı) erişim kontrolleri.

Güvenlik açığı yönetimi

Sürekli olarak yeni tehdit türleri ortaya çıktığı için kapsayıcı güvenlik açığı hakkında gerçek zamanlı bir görünümün sürdürülmesi önemlidir – bunların düzeltilme hızı kritik olabilir.

Geleneksel güvenlik açığı tarayıcıları bazen belirli uygulamaların güvenliği gibi uzmanlık alanlarında yetersiz kalabilir – örneğin, özel ERP’ler temel SOC operasyonlarına görünürlükleri açısından genellikle bir “kör nokta” olabilir – ve kapsayıcı güvenlik açığı tarayıcıları da farklı değildir. .

Konteynerleştirmenin son derece uzmanlaşmış doğası, amaca yönelik araçlara benzer bir odaklanma gerektirir. Kapsayıcı teknolojisine özgü güvenlik açığı yönetimi araçlarının kullanılması, güvenlik açıkları tespit edildikten sonra bunları çözmeye çalışan entegre süreçlerle birlikte NIST tarafından önerilir.

Sonuç olarak, konteynerizasyonun sağladığı verimlilik, onun alımını yönlendiriyor. Çoğu teknolojik gelişme gibi, bu da yeni güvenlik sorunlarını beraberinde getiriyor. Bunları ele almak, tasarım ve en az ayrıcalıkla görünürlük ihtiyacını ve temel güvenlik ilkelerini yeniden uygular.

Çeviklik ve esnekliğe odaklanılan tüm çözümlerde olduğu gibi, sunabilecekleri avantajlardan tam olarak yararlanmak için bunları güvence altına almak için uygulanması gereken tasarım ilkelerine, standartlarına ve entegrasyonlarına özen gösterilmelidir.

Read Previous

Hükümet, yaşlı ve savunmasız web kullanıcıları için siber desteği artırıyor

Read Next

Telekom Altyapı Projesi, Intel metaverse mMIMO işbirliğini başlattı

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -