CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Azure Kubernetes Service (AKS) ile Konteyner Güvenliğini Geliştirin

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Konteyner tabanlı uygulamalar için Azure Kubernetes Service (AKS) güvenliği ile uygulama katmanınızı koruyun.

Azure Kubernetes Service (AKS) ile Konteyner Güvenliğini Geliştirin

Azure Kubernetes Service (AKS) ile konteyner güvenliğinin temellerini öğrenin. AKS'nin bileşenleri, güvenlik önlemleri ve daha fazlası için rehberimizle güvenliğinizi artırın.

Giriş ve Konumlandırma

Konteyner sistemleri, modern yazılım geliştirme ve dağıtım süreçlerinin temel taşlarından biri haline gelmiştir. Azure Kubernetes Service (AKS), bu sistemlerin yönetimini kolaylaştırırken, güvenlik konularında da önemli bir rol oynamaktadır. Bu yazıda, AKS ile konteyner güvenliğinin nasıl geliştirileceğine dair temelleri inceleyeceğiz.

AKS Güvenliği Nedir?

Konteyner tabanlı uygulamaların güvenliği, altyapıdan uygulama katmanına kadar geniş bir perspektifi kapsamaktadır. AKS güvenliği, bu yapıların korunmasına yönelik tüm süreçleri içerir. Yalnızca uygulama düzeyindeki güvenlik önlemleriyle sınırlı kalmayıp, aynı zamanda kubelet ve API sunucusu gibi bileşenleri de kapsayan geniş bir güvenlik anlayışına ihtiyaç vardır. Azure'un sunduğu bu hizmet, kullanıcıların güvenli bir şekilde konteynerlerini yönetmelerine olanak tanır.

Neden Önemlidir?

Güvenlik tehditlerinin sürekli evrildiği günümüzde, siber güvenlik stratejileri de güncellenmelidir. Pentest uygulamaları, güvenlik açıklarını belirlemek için önemli bir araçtır. AKS gibi çözümler, sadece uygulama geliştirme sürecinde değil, aynı zamanda saldırılara karşı korunma aşamasında da kritik bir rol oynar. Potansiyel saldırı yüzeyini en aza indirmek için, her düzeyde güvenlik önlemlerinin alınması gerekmektedir. Bu, örneğin zafiyet taramaları ve sertifika yönetimi gibi önlemlerle sağlanabilir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber güvenlik, yalnızca saldırıların önlenmesi veya tespitiyle ilgili değildir. Aynı zamanda olay müdahale süreçlerini, risk yönetimi uygulamalarını, güvenlik denetimlerini ve altyapı güvenliğini de kapsar. Pentest uygulamaları, bu savunma mekanizmalarının ne kadar etkili olduğunu sorgulamak ve güncellemeler hakkında geri bildirim almak için kullanılır. AKS üzerindeki güvenlik uygulamaları, bu tür testlerin yapılmasını kolaylaştırırken, güvenlik açıklarını da hızlı bir şekilde tespit edebilir.

Teknik İçeriğe Hazırlık

Bu yazının ilerleyen bölümlerinde, AKS'nin bileşenleri, en iyi uygulamaları ve güvenlik entegrasyonu hakkında daha derin bilgilere ulaşılacaktır. Özellikle, aşağıda örnekleme ile kullanılacak bazı teknik terimleri bulabilirsiniz:

Control Plane: Kubernetes'in merkezi yönetim alanı.
Worker Nodes: Uygulama konteynerlerini barındıran sanal makineler.
Pods: Bir veya birden fazla konteyneri içeren temel yapı birimi.
Image Scanning: Konteyner imajlarındaki zafiyetleri tespit etme işlemi.
Content Trust: Sadece güvenilir ve dijital olarak imzalanmış imajların kullanımını sağlamak.

Konteyner güvenliği, yalnızca bir gereklilik değil, aynı zamanda iş sürekliliğini sağlama konusunda kritik bir unsurdur. AKS, bu süreçleri daha erişilebilir hale getirirken, güvenlik altyapısının nasıl tasarlanması gerektiği hakkında son derece değerli bilgiler sunar. Bu bağlamda, okuyucuların AKS ile güvenlik uygulamalarını daha iyi anlamak için dikkatli bir şekilde takip etmeleri önemlidir.

Teknik Analiz ve Uygulama

Konteyner tabanlı uygulama mimarileri, günümüzde hızla yayılan bir yaklaşım olarak, işletmelerin daha ölçeklenebilir ve esnek altyapılar oluşturmasına olanak tanır. Ancak, bu yapıların güvenliğini sağlamak, potansiyel siber tehditlere karşı alınacak en önemli önlemlerden biri olarak karşımıza çıkmaktadır. Azure Kubernetes Service (AKS), güvenlik mimarisi ve politikalarına entegre edilmiş çeşitli bileşenleriyle, konteyner yönetimini güvenli hale getirir. Bu bölümde, AKS ortamında güvenliğin nasıl sağlandığını ve hangi teknik uygulamaların gerekli olduğunu inceleyeceğiz.

AKS Bileşenleri ve Sorumluluk

AKS’nin temel bileşenleri, Control Plane ve Worker Nodes olarak iki ana kategoriye ayrılır. Control Plane, Kubernetes’in yönetim katmanını temsil eder ve Microsoft tarafından sağlanır. Burada, uygulamaların durumu sürekli izlenir ve küme kaynakları yönetilir. Diğer yandan, Worker Nodes üzerinde uygulama konteynerları çalışır ve bu katmanda güvenlik, kullanıcıların sorumluluğundadır. Bununla birlikte, her bir bileşen arasında güvenlik denetimleri sağlamak için rol tabanlı erişim kontrolü (RBAC) gibi mekanizmalar kullanılır.

AKS ve Entra ID Entegrasyonu

Konteyner güvenliğinde kimlik yönetimi, kritik bir bileşen olarak ortaya çıkar. Microsoft Entra ID entegrasyonu, AKS ortamında kullanıcı yönetimini merkezi hale getirir ve rol bazlı erişim denetimi sağlar. Bu, yerel hesapların yerine geçerek daha iyi bir güvenlik katmanı ekler. AKS kümesine kullanıcı atamak için aşağıdaki komut kullanılabilir:

az aks update --resource-group <resource-group-name> --name <aks-name> --enable-managed-identity

Bu komut, yöneticilere, Entra ID üzerinden kullanıcıların rol bazlı izinlerini kolayca tanımlama imkânı sunar.

Ağ Politikaları (Network Policies)

Kubernetes’te ağ politikaları, podlar arasındaki trafik akışını kısıtlayarak mikro-segmentasyon sağlar. Bu, potansiyel tehditlerin bir poddan diğerine geçişini zorlaştırır. Örneğin, aşağıda basit bir ağ politikası tanımı yer almaktadır:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-specific-apps
spec:
  podSelector:
    matchLabels:
      app: my-app
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: trusted-app

Yukarıdaki yapı, sadece trusted-app etiketi taşıyan podların my-app poduna erişimine izin verir. Bu tür bir yapı, siber tehditlere karşı güçlü bir bariyer oluşturur.

Azure Container Registry (ACR) Güvenliği

ACR, Azure'da konteyner imajlarının depolanmasını ve yönetilmesini sağlar. Güvenlik açısından, ACR’den imaj çekmeden önce imajların taranması ve içerik güvenilirliğinin sağlanması önemlidir. Bunun için Image Scanning özelliği kullanılabilir. Aşağıda örnek bir tarama işlemi için komut verilmiştir:

az acr task run --registry <acr-name> --image <image-name> --context <context-path>

Bu komut, depolama alanında tüm imajları tarayarak, güvenlik açıklarının tespit edilmesine yardımcı olur.

Pod Identity ve Sır Yönetimi

Güvenli veri sağlama açısından kritik bir diğer bileşen ise Pod Identity ve Sır Yönetimi’dir. Pod’lar arasında gizli bilgilerin doğrudan kodda tutulmadan, Azure Key Vault üzerinden erişim sağlanması tercih edilir. Bu durumda, Secret Store CSI Driver kullanılarak, gerekli gizli verilere güvenli bir şekilde erişim sağlanabilir. Aşağıdaki örnek ile bu erişimi sağlamaya yönelik bir işlem gösterilmektedir:

apiVersion: secrets-store.csi.k8s.io/v1
kind: SecretProviderClass
metadata:
  name: my-secretprovider
spec:
  provider: azure
  parameters:
    usePodIdentity: "true"
    keyvaultName: "my-keyvault"
    objects: |
      array:
        - |
          objectName: my-secret
          objectType: secret

Bu yapı, podların ihtiyaç duyduğu sırların güvenli bir biçimde yönetilmesini ve erişim sağlanmasını mümkün kılar.

Microsoft Defender for Containers

Microsoft Defender for Containers, AKS ortamındaki güvenlik durumunu izleyerek, çalışma zamanı saldırılarını tespit etme ve imaj taraması yapma yeteneği sunar. Kullanıcılar, bu servisi etkinleştirdikten sonra, potansiyel tehditlere karşı anlık uyarı alabilirler. Bu özelliğin etkinleştirilmesi için şu komut kullanılır:

az defender container status update --resource-group <resource-group-name> --name <aks-name> --status on

İzleme: Container Insights

Azure Monitor’un partisi olan Container Insights, AKS kümesini izlemek için kullanılmaktadır. Konteynerların performansını, günlüklerini ve sağlık durumunu anlık olarak izleyerek, güvenli bir yapı sağlar. Aşağıdaki komut, izleme işlemlerini etkinleştirmeye yöneliktir:

az aks enable-addons --resource-group <resource-group-name> --name <aks-name> --addons monitoring --workspace-resource-id <workspace-id>

Bu komut, hem performans izleme hem de olağanüstü durum yönetimi üzerinde etkinlik sağlayarak, güvenli bir AKS ortamı oluşturulmasına olanak tanır.

Sonuç olarak, Azure Kubernetes Service (AKS) ile konteyner güvenliğini artırmak, teknik açıdan titizlik gerektiren uygulamalar ve doğru yapılandırmalarla mümkündür. Yukarıda bahsedilen bileşenler ve uygulamalar, AKS ortamında güvenliğin sağlanmasını hedeflerken, siber tehditlere karşı dayanıklı bir yapı oluşturmaya yardımcı olur.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Azure Kubernetes Service (AKS), konteyner tabanlı uygulamaların güvenli bir şekilde çalıştırılmasını sağlamak amacıyla birçok güvenlik önlemi sunar. Ancak, güvenlik sadece araçları kullanmakla değil, bu araçların doğru bir şekilde yapılandırılması ve sürekli olarak izlenmesiyle de ilgilidir. Bu nedenle, AKS üzerindeki riskleri değerlendirmek ve uygun yorumlamalar yapmak kritik bir gereksinimdir.

Güvenlik Bulgu Değerlendirmesi

AKS üzerinde yapılan güvenlik değerlendirmeleri, çeşitli noktalar üzerinden risklerin tespit edilmesine olanak tanır. Örneğin, yanlış yapılandırılmış ağ politikaları, podların birbirine zarar vermesine veya hassas verilere erişmesine neden olabilir. Ağırlıklı olarak şu alanlarda risk değerlendirmesi yapılır:

  1. Yanlış Yapılandırma: Özellikle ağ politikalarının yanlış uygulanması, podlar arasındaki iletişimi kontrol etme becerisini ortadan kaldırır. Aşağıdaki gibi basit bir ağ politikası ile podlar arası trafiği kısıtlamak mümkündür:

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-some
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: frontend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: backend

  2. Sızan Veri: Doğru yapılandırılmamış güvenlik kümeleri, hassas verilerin dışarı sızmasına veya yetkisiz erişime yol açabilir. Verilerinizin sızma olasılığını düşürmek için, Azure Key Vault gibi bir araçla şifreli veri yönetimi sağlamak önemlidir.

  3. Servis Tespiti: Konteyner içindeki uygulama servislerinin yanlış şekilde tespit edilmesi, güvenlik açıklarına neden olabilir. Bu nedenle, AKS üzerindeki servislerin düzenli olarak denetlenmesi ve güvenlik açıklarının kapatılması gereklidir.

Güvenlik Önlemleri ve Hardening Önerileri

AKS güvenliğini artırmak için uygulanabilecek profesyonel önlemler şunlardır:

  1. Role-Based Access Control (RBAC): Kullanıcılara ve uygulamalara belirli yetkilerin atanması, siber saldırı riskini azaltır. Microsoft Entra ID entegrasyonu ile birlikte, merkezi bir kullanıcı yönetimi sağlanabilir.

  2. Pod Identity: Pod’ların kimlik bilgilerini gizli tutmak için Azure Active Directory (AAD) entegrasyonu kullanarak, hassas verilere erişimi kontrol altında tutmak mümkündür. Bu yöntem, uygulamaların kritik verilere erişimini yönetmek açısından oldukça etkilidir.

  3. Giriş Denetleyicileri: Kubernetes API’sine gelen tüm isteklerin doğrulanmasını veya değiştirilmesini sağlamak için giriş denetleyicileri kullanılmalıdır. Bu, kötü niyetli isteklerin önüne geçer.

  4. İzleme ve Alarm Mekanizmaları: Azure Monitor ve Container Insights gibi araçlar kullanarak uygulamaların sağlık durumunu, performansını ve günlüklerini izlemek, güvenlik risklerini daha hızlı tespit etmeye yardımcı olur.

  5. İmaj Taraması: Konteynır imajlarının otomatik olarak taranması, bilinen zafiyetlerin tespit edilmesini sağlar. Microsoft Defender for Containers kullanılarak, imajlar içindeki güvenlik açıkları belirlenebilir ve giderilmeye yönelik adımlar atılabilir.

Sonuç Özeti

Azure Kubernetes Service üzerindeki güvenlik risklerini etkili bir şekilde değerlendirmek, konteyner güvenliğini artırmak için kritik bir adımdır. Yalnızca doğru yapılandırmalarla değil, sürekli izleme ve denetleme ile de güvenlik sağlanmalıdır. Yanlış yapılandırmalar, sızan veriler ve hatalı servis tespitleri, büyük tehditler oluşturabilirken, alınacak önlemler ve uygulanacak hardening stratejileri, bu tehditlerin etkisini azaltmaya yardımcı olacaktır. AKS üzerinde güvenli bir ortam oluşturmak için, yukarıda belirtilen güvenlik önlemlerinin titizlikle uygulanması büyük önem taşımaktadır.