NSA ve CISA, Kubernetes dağıtımlarını daha güvenli hale getirebilmek için kılavuz yayınladı

Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA) tarafından, Google tarafından GO dilinde geliştirilmiş Cloud Native Computing Foundation tarafından desteklenen Kubernetes için 59 sayfalık bir kılavuz yayınlandı. Yayınlanan rapor içerisinde Kubernetes ortamlarına yönelik tehditlerin ayrıntılı olarak ele alındığı ve riski en aza indirmeye yönelik tavsiyeler yer alıyor.

Bulut teknolojilerinin kullanımının yaygınlaşması ile birlikte konteyner kavramıda yaygınlaşmaya ve önemli hale gelmeye başladı. Kubernetes teknolojisi kullanılarak, uygulamaların mikro servis mimarisi aracılığıyla yönetilmesi kolaylaşıyor ve daha kolay bir şekilde sorunlara çözüm bulunabiliyor. Ancak Kubernetes ve Docker modeli geleneksel yazılım platformlarına kıyasla çok farklı olduğu için, birçok sistem yöneticisi Kubernetes’i güvenli bir şekilde çalışacak şekilde yapılandırma konusunda sorun yaşıyor.

Saldırganlar tarafından Kubernetes’in hedeflenmesi ile ilgili olarak, birincil motivasyonun veri hırsızlığı olduğunu belirtiyorlar. İkinci olarak kripto madenciliği botnetlerinin yanlış yapılandırılmış Kubernetes’leri hedef alıp, kurbanın bulut altyapısına erişim kazandıktan sonra kripto madenciliği uygulamalarını dağıtma yoluna gitmeleri olarak gösteriliyor.

Yayınlanan kılavuzda, Kubernetes sistemlerini güçlendirmeye yönelik öneriler detaylandırılıyor. Bunun yanında, şirketlerin ve devlet kurumlarının bir Kubernetes ihlalini önlemek veya sınırlamak için uygulayabileceği ana tavsiyeler de rapor içerisinde yer alıyor. Rapora göre;

1- Güvenlik açıkları veya yanlış yapılandırmalar için Containers ve Pods’ların taranması
2- Containers ve Pods’ların mümkün oldukça en az ayrıcalık verilecek şekilde çalıştırılması
3- Ağ ayrımının yapılması ve güvenlik duvarlarının kullanılması
4- Saldırı yüzeyini sınırlamanın yanı sıra, kullanıcı ve yönetici erişimini sınırlamak için de güçlü kimlik doğrulama ve yetkilendirme kullanılması
5- Yöneticilerin işlemleri izleyebilmesi ve olası kötü amaçlı işlemlere karşı uyarı alabilmesi için günlük denetiminin kullanılması
6- Tüm Kubernetes ayarlarının düzenli olarak gözden geçirilip, risklerin uygun şekilde hesaba katıldığından ve güvenlik yamalarının uygulandığından emin olmak için güvenlik açığı taramalarının kullanılması

gibi ana başlıklar ve bunların detaylı anlatımları yer alıyor. 59 sayfalık kılavuzu incelemek isterseniz, buradan erişebilirsiniz.