Uygulama güvenliği testi global lideri Checkmarx, geçtiğimiz günlerde KICS projesini duyurdu. KICS, ilk günden itibaren açık kaynaklı bir proje olarak serüvenine başladı.
Peki KICS Nedir?
KICS, Keeping Infrastructure as Code Secure, yani Altyapı Olarak Kod’u Güvenli Tutmak anlamına gelmektedir. Checkmarx KICS, Infrastructure As Code geliştirme döngüsünün başlarında güvenlik açıklarının, uyum sorunlarının ve yanlış altyapı yapılandırmalarının testpit edilmesini ve dolayısı ile iyileştirilmesini amaçlamaktadır.
KICS an itibari ile Terraform, Kubernetes, docker, AWS CloudFormation ve Ansible IAC çözümleri üzerinde taramalar gerçekleştirerek güvenlik sorunlarını tespit edebilmektedir.
Şimdi bir adım geri atalım…
Konuya yabancı olanlar ve belkide bu teknolojiyi konteyner güvenliği ile ilişkilendilerenler için bazı teknolojileri açıklamak gerektiğini düşünüyorum:
Konteyner Güvenliği Nedir?
Konteyner güvenliği, altyapının korunması, yazılım tedarik zinciri, çalışma zamanı ve aradaki geri kalan her şey dahil olmak üzere konteynerınızdaki her varlığın ve sürecin amaçlandığı gibi çalışmasını sağlamak amacı ile güvenlik araçlarını ve politikalarını uygulama sürecidir.
Konteynerlerin güvenlik altına alınması süreci devamlılık gerektirmektedir. Geliştirme sürecinize entegre edilmeli, otomasyona alınmalı ve temel altyapının bakım ve işletim süreçlerine dahil edilmelidir.
Konu Konteyner Güvenliği Olduğu Zaman Ana Kaygı;
- Konteyner host‘un güvenliği
- Konteyner ağ trafiği
- Konteyner içerisindeki uygulamanın güvenliği
- Uygulamanız içerisinde kötü niyetli olarak değerlendirilebilecek operasyonlar
- Konteyner yönetimi güvenliği
- Uygulama katmanları
- Build pipeline‘ının bütünlüğü olarak sıralanabilir.
IAC Güvenliği Nedir?
Infrastructure as Code -Altyapı Olarak Kod- güvenliği, en iyi güvenlik uygulamalarının -best practices- IaC betik dosyalarına dahil edilmesi disiplinidir. Bunlar ağ segmentasyonu, en az ayrıcalık ilkesi ve aktarılan ya da saklanan verinin şifrelenmesi gibi güvenlik uygulamalarıdır. IAC betiklerinin güvence altına alınmamasının bir takım ağır sonuçları olabilir. Hassas verileri veya yanlışlıkla herkesin erişebildiği ve bilgisayar korsanları için saldırı vektörü görevi gören bir örneği açığa çıkaran güvenli olmayan depolama paketleri bu konuda örnek olarak gösterilebilir.
Konu IAC Güvenliği Olduğu Zaman Ana Kaygı;
- Secret’ların güvenli olarak saklanması
- Master-Node mimarisinde Master iletişim kanalının güvence altına alınması
- Kullanıcı hakları
- IAC şablonlarının güvence altına alınması
- Verilerilerin aktarım ve saklanma aşamalarında güvence altına alınması olarak sıralanabilir.
Son Sözler
IAC, işletmelere DevOps süreçlerini hızlandırma ve uygulamaları konularında sürekli güncelleme ve geliştirme potansiyeli sağlar. Bu tür hızlı tempolu iş ortamları kaçınılmaz olarak yeni güvenlik endişeleri yaratır. Güvenlik risklerini ele alırken ve azaltırken aynı zamanda IAC’dan yararlanmanıza olanak tanıyan mevcut araçlar ve teknikler vardır. Doğru güvenlik planı uygulandığında, IAC’u güvenle kullanabilir, esnek ve ölçeklenebilir bir altyapı yaratabilirsiniz.
Kaynakça:
- http://docs.kics.io/
- https://www.trendmicro.com/en_us/what-is/container-security.html#:~:text=Container%20security%20is%20the%20process,Secure%20Host
- https://snyk.io/learn/infrastructure-as-code-iac/#:~:text=What%20Is%20IaC%20Security%3F,into%20the%20IaC%20declarative%20scripts
- https://www.prancer.io/infrastructure-as-code-security/
Mehmet Türker
Technical Account Manager & Cyber Security Engineer
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2022
LinkedIn