Sanallaştırma için Donanım Desteği ile 2000’lerin başlarında daha güçlü işlemcilerin ortaya çıkması, zamanla bulut dediğimiz şeye yol açan bilgi işlem devrimini başlattı. Aynı anda yüzlerce sanal makine olmasa da düzinelerce çalıştırabilen tek donanım örnekleri ile işletmeler, kullanıcılarına imkansız olmasa da finansal olarak pratik olmayacak birden fazla hizmet ve uygulama sunabilir.
Ancak sanal makinelerde (VM’ler) birkaç olumsuz yöne sahiptir. Çoğu zaman, tüm sanallaştırılmış bir işletim sistemi birçok uygulama için aşırıya kaçmaktadır ve çıplak metal sunucu filosundan çok daha dövülebilir, ölçeklenebilir ve çevik olsa da, VM’ler hala önemli ölçüde daha fazla bellek ve işleme gücü gerektirir ve bir sonrakiden daha az çeviktir. Bu tür teknolojilerin evrimi – kaplar. Daha kolay ölçeklendirilmenin yanı sıra (talebe göre yukarı veya aşağı), konteynerleştirilmiş uygulamalar bir uygulamanın sadece gerekli kısımlarından ve destekleyici bağımlılıklarından oluşur. Bu nedenle mikro hizmetlere dayanan uygulamalar daha hafif ve daha kolay yapılandırılabilir olma eğilimindedir.
Sanal makineler, çıplak metal meslektaşlarını etkileyen aynı güvenlik sorunlarını sergiler ve bir dereceye kadar konteyner güvenlik sorunları bileşen parçalarınınkini yansıtır: yukarı akış uygulamasının belirli bir sürümündeki MySQL hatası da konteyner versiyonlarını etkileyecektir. VM’ler, çıplak metal kurulumları ve konteynerlerle ilgili olarak, siber güvenlik endişeleri ve faaliyetleri çok benzerdir. Ancak konteyner dağıtımları ve bunların takımları, uygulamaları ve hizmetleri seçme konteynırlarıyla manuel olarak birleştirme veya ölçekte düzenleme ile üretimde çalışan uygulamalar ve hizmetler ile suçlanan kişilere belirli güvenlik zorlukları getirir.
Konteynere özgü güvenlik riskleri
- Yanlış yapılandırma: Karmaşık uygulamalar birden fazla kaptan oluşur ve yanlış yapılandırma – genellikle bir .YAML dosyasında yalnızca tek bir satır, gereksiz ayrıcalıklar verebilir ve saldırı yüzeyini artırabilir. Örneğin, bir saldırganın bir kaptan ana makineye kök erişimi kazanması önemsiz olmasa da, örneğin Docker’ı kök olarak çalıştırmak, örneğin kullanıcı ad alanı yeniden yapmadan çok yaygın bir uygulamadır.
- Savunmasız konteyner görüntüleri: 2022’de, Sysdig bulundu Docker merkezinde kötü niyetli olarak tanımlanan 1.600’den fazla görüntü, sert kodlanmış bulut kimlik bilgileri, SSH tuşları ve NPM jetonları ile repoda depolanan birçok konteynere ek olarak. Kamu kayıtlarından görüntü çekme süreci opaktır ve konteyner dağıtımının (artı geliştiricilerin sonuç üretmek için baskı, hızlı) rahatlığı, uygulamaların doğal olarak güvensiz veya hatta kötü niyetli bileşenlerle kolayca oluşturulabileceği anlamına gelebilir.
- Orkestrasyon Katmanları: Daha büyük projeler için, Kubernetes gibi düzenleme araçları, genellikle yanlış yapılandırma ve yüksek karmaşıklık seviyeleri nedeniyle saldırı yüzeyini artırabilir. 2022 D2IQ’dan anket Kubernetes üzerinde çalışan uygulamaların sadece% 42’sinin, kısmen büyük kümeler ve dik bir öğrenme eğrisi uygulama zorluğuna kadar üretime geçtiğini buldu.
Akamai’deki Ari Weil’e göre, “Kubernetes olgun, ancak çoğu şirket ve geliştirici ne kadar karmaşık […] Aslında ölçekli olana kadar olabilir. ”
Makine öğrenimi ile konteyner güvenliği
Belirli zorluklar konteyner güvenliği kullanılarak ele alınabilir makine öğrenimi Algoritmalar, ‘temiz çalışırken’ bir uygulamanın bileşenlerini gözlemlemeye eğitildi. Makine öğrenimi, normal davranışın temelini oluşturarak, olağandışı trafikten kaynaklanan potansiyel tehditleri, konfigürasyonda yetkisiz değişiklikler, tek kullanıcı erişim modelleri ve beklenmedik sistem çağrıları gösterebilecek anomalileri tanımlayabilir.
ML tabanlı konteyner güvenlik platformları, görüntü depolarını tarayabilir ve her birini bilinen güvenlik açıkları ve sorunlarının veritabanlarıyla karşılaştırabilir. Taramalar otomatik olarak tetiklenebilir ve planlanabilir, bu da geliştirme sırasında ve üretimde zararlı unsurların eklenmesini önlemeye yardımcı olabilir. Otomatik oluşturulan denetim raporları standart kriterlere karşı izlenebilir veya bir kuruluş kendi güvenlik standartlarını belirleyebilir-son derece hassas verilerin işlendiği ortamlarda kullanışlıdır.
Uzman konteyner güvenlik işlevleri ve orkestrasyon yazılımı arasındaki bağlantı, şüpheli kapların derhal izole edilebileceği veya kapatılabileceği, güvensiz izinler iptal edilebileceği ve kullanıcı erişiminin askıya alınabileceği anlamına gelir. Yerel güvenlik duvarlarına ve VPN uç noktalarına API bağlantıları ile tüm ortamlar veya alt ağlar izole edilebilir veya trafik ağ sınırlarında durabilir.
Son kelime
Makine öğrenimi, birkaç seviyede çalışarak kapsayıcı ortamlarda veri ihlali riskini azaltabilir. Anomali tespiti, varlık taraması ve potansiyel yanlış yapılandırmanın işaretlenmesi mümkündür, ayrıca herhangi bir otomatik uyarma veya iyileştirme derecesi yürürlüğe girmesi nispeten basittir.
Konteyner tabanlı uygulamaların dönüştürücü olanakları, bazılarının mikro hizmet tabanlı uygulamaları keşfetmesini, geliştirmesini ve çalıştırmasını engelleyen güvenlik sorunları olmadan yaklaşılabilir. Bulut anadili teknolojilerin avantajları, yüksek riskli sektörlerde bile mevcut güvenlik standartlarından ödün vermeden kazanılabilir.
