Giriş Denetleyicileriyle Kubernetes Pod Güvenliği İçin İpuçları

Günümüzün modern altyapısını oluşturan mikro hizmetler neredeyse her zaman kapsayıcılar kullanılarak başlatılır ve bu mikro hizmetler günümüzün modern altyapısını dağıtmak için kullanılır. Kapsayıcılar bir kuruluş tarafından çok sayıda kullanılabilir. Bu kapsayıcıların kolayca dağıtılabilmesi ve yönetilebilmesi için, yönetim yazılımına veya bir yönetim platformuna sahip olmaları gerekir.

Kubernetes taşınabilir, uyarlanabilir ve açık kaynaklı bir platformdur. Kapsayıcılı iş yüklerini ve hizmetleri yönetmek için kullanılır ve bildirime dayalı kurulum sağlarken otomasyonu kolaylaştırır. Hızlı bir şekilde genişleyen büyük bir ekolojiye sahiptir. Kubernetes hizmetleri, desteği ve araçları için önemli miktarda kullanılabilirlik vardır.

Kubernetes tarafından sağlanan güvenlik açısından, güvenlik önlemlerinin en etkili şekilde yürütülmesini sağlamada çok yardımcı olacak yeni bir kabul denetleyicisi uyguladılar. Kubernetes kümeleri, kabul denetleyicilerinin yardımıyla operasyonlarını tanımlayabilir ve yönetebilir.

Kabul kontrolörleri, farklı eklenti türlerinin bir koleksiyonudur. Genellikle, nesne verileri yürütülmeden veya dağıtılmış anahtar-değer deposuna yerleştirilmeden önce Kubernetes API sunucusuna alınan istekleri işleyen ağ geçidi bekçileri olarak hareket ederler. kubernetes admission controller (kabul denetleyicisi), istekleri ve istek nesnelerinin kendilerini tamamen reddetme, onaylama veya değiştirme yeteneğine sahiptir.

Kubernetes'te giriş denetleyicisini açmak oldukça basittir. Bir dizi farklı eklentiden oluşur. Bu eklenti, altyapının uygun şekilde korunmasını sağlar. Her ikisi de düzenli olarak güncellemeler alan ResourceQuota ve podsecurity gibi bazı varsayılan eklentilerle önceden yüklenmiş olarak gelir.

Bölmeleri Giriş Denetleyicisi (Admission Controller) İle Sabitlemek İçin İpuçları

Kubernetes giriş denetleyicisinde birçok farklı eklenti vardır ve bunların tümü bölmeleri (bir grup kapsayıcı) çok çeşitli tehditlerden korumak için kullanılabilir. Bütün bunlar podların sabitlenmesi sürecinde kullanılabilir.

Güvenlik Standardına Dayalı Bölmeyi Kabul Etme

Temel olarak üç ayrı pod politikası standardı vardır ve bunlar sırasıyla ayrıcalıklı, temel ve kısıtlı olarak adlandırılır. Bu kuralların kümülatif etkisi, son derece izin verici olmaktan oldukça kısıtlayıcı olmaya kadar değişebilir. Bu kabul denetleyicisi, bir bölmenin oluşturulmasına veya değiştirilmesine yanıt verir ve bölme güvenlik standartlarına bağlı olarak kabul edilip edilmeyeceğine karar verir.

Örneğin, kısıtlı ilke, bazı uyumluluk pahasına geçerli pod sağlamlaştırma en iyi uygulamalarını uygulamayı hedeflemektedir (örneğin, bu güvenlik ilkesine sahip pod'ların ayrıcalık yükseltme için izin verilmeyeceği, kapsayıcıların içindeki kullanıcıların ise kök ayrıcalıkları olmayacaktır). Kabul edilen herhangi bir pod politikaya uymuyorsa, kabul edilmeyecektir. Bu nedenle, podların güvenlik duruşunu korur.

Kapsayıcıları Her Zaman Görüntüleri Çekmeye Zorlama

Konteynerler hakkında konuştuğumuzda, genellikle Linux veya Ubuntu gibi bir temel görüntüye sahip olduklarından bahsediyoruz. Bir Pod dağıttığınızda, Pod'a dahil edilen tüm kapsayıcıların mümkün olan en son görüntülerle çalışması kesinlikle gereklidir. Kapsayıcı görüntülerinin en son yapılarının tutarlı bir şekilde indirilmesini sağlamak bu denetleyicinin sorumluluğundadır.

Bir düğüm yeni görüntüler çekip kullandığında performans bir darbe alsa da, güncel olan kapsayıcı görüntülerini çalıştırmak önemlidir. Bunun nedeni, eski görüntülerin kullanılmasının bir tehdit taşımasıdır. Bu görüntüde kullanılmakta olan bağımlılık paketleri hassas olabilir, yani istismar edilirse tüm kümenin güvenliğini tehlikeye atabilecek güvenlik açıkları içerebilir.

Kaynak (Resource) Kotasını Yönetme

Kubernetes kümeleri dağıtılırken ve çok sayıda ekip veya kullanıcı sabit sayıda düğüme sahip bir küme kullanırken, bir takımın kaynakların adil payından daha fazlasını kullanabileceği endişesi olabilir. Bunun nedeni, kümedeki düğüm sayısının sabit olmasıdır.

Ayrılan kaynak miktarının tükenmesi durumunda, bölmelerin veya kapsayıcıların kullanılamaz hale gelmesi mümkündür. Sonuç olarak, bu kabul denetleyicisi temel olarak gelen tüm isteklere göz kulak olacak ve bu isteklerin Ad Alanında depolanan ResourceQuota nesnesinde listelenen kısıtlamaların hiçbirini ihlal etmediğinden emin olacaktır. Bu nedenle, çok sayıda ekip kümeleri kullanıyorsa, ResourceQuota'ı uygulamak önemlidir.

Sonuç

Kuruluşlar mikro hizmetlere ve kapsayıcılara giderek daha fazla bağımlı hale geldikçe, Kubernetes tüm kuruluşlar için hayati bir bileşen haline gelmiştir. Denetlediği çok sayıda küme ve kaynak göz önüne alındığında, yeterli güvenliğe sahip olması önemlidir.

Yapılandırılabilen ve tüm dağıtımı basitçe koruyabilen birçok eklenti olduğundan, kabul denetleyicisi bu işlemi kullanıcılar için çok basit ve anlaşılır hale getirir. Kümeler doğru yapılandırılmamışsa, saldırgan bu güvenlik açıklarından veya yanlış yapılandırmadan yararlanabilir. Bu nedenle, Kubernetes içinde yüksek düzeyde güvenlik uygulamak ve sürdürmek gerekir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.