Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
1 like408 views
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
- 3. @BGASecurity Ajanda Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği İmaj Güvenliği Orkestrasyon Güvenliği Mitre ATT&CK Konteyner Matrisi Docker İmajlarında Zafiyet Taraması Nasıl Yapılır? Konteyner Sıkılaştırma (hardening) Konteyner Yapılarında Loglama
- 5. @BGASecurity İmaj Güvenliği • Güvenli olmayan yapılandırmalara sahip imajlar (%42) • Zafiyet barındıran imajlar (%51) • İmajların çalıştığı hostların üzerinde ki zafiyetler (%24) • Compliance riskleri (%43) Kaynak: Paloalto Unit42
- 6. @BGASecurity İmaj Güvenliği - İmaj Türleri • Verified Publisher • Official Images
- 7. @BGASecurity İmaj Güvenliği - Docker Content Trust (DCT) • İmajların • Orjinalliği • Bütünlüğü • Yayın tarihi
- 8. @BGASecurity İmaj Güvenliği - Docker Trusted Registry (DTR) • On-prem veya Private-Cloud imaj registeryleri oluşturma
- 10. @BGASecurity Distroless Images • Nedir? • Neden kullanılmalıdır? • Biz nasıl oluşturabiliriz. (https://bazel.build)
- 11. @BGASecurity Orkestrasyon Araçları • Kubernetes • Openshift • Cloud (Amazon, IBM vb.)
- 12. @BGASecurity Orkestrasyon Güvenliği • Rol bazlı erişim kontrolü uygulanması (k8s) • 3.parti kimlik doğrulama api kullanılması • Nodelar için network izolasyonu yapılmalı • Network trafiği monitor edilmeli ve limitlenmeli • Güvenlik güncelleştirmeleri takip edilmeli • Audit logların aktif edilmesi
- 13. @BGASecurity Orkestrasyon Güvenliği – k8s • Kubernetes API istemcileri için kimlik doğrulama olmalı • Rol bazlı erişim kontrolü (kimin ne yapabileceğini belirlenmesi) • API trafiğini TLS ile şifreli yapılması
- 16. @BGASecurity Mitre ATT&CK Konteyner Matrisi • T1613 - Container and Resource Discovery • T1612 - Build Image on Host • T1610 - Deploy Container
- 17. @BGASecurity Docker İmajlarında Zafiyet Taraması • Docker Scan (Snyk) • Trivy* • Clair* • Anchore • Dagda Kaynak: https://geekflare.com/container-security-scanners
- 19. @BGASecurity Konteyner Sıkılaştırma • Root kullanıcısını kullanmak yerine yeni kullanıcı eklemek • Gereksiz network erişimlerini engellemek • Yeni ayrıcalıklar edinmeyi kısıtlama • Docker.service ve docker.socket dosyaları (root:root 644) • /etc/docker dizini (root:root 755) • Konteynerın çalıştığı host üzerinde ki sıkılaştırmalar da unutulmamalı Kaynak ve daha fazlası için: https://www.slideshare.net/bgasecurity/docker-konteyner-teknolojisi-nedir
- 20. @BGASecurity Konteyner Sıkılaştırma • Güvenilir konteyner base imajların kullanılması • Konteynerlar içerisinde gereksiz paketlerin bulundurulmaması • Güvenlik taramalarının yapılması ve patch geçilmesi • Doğrulanmış paketlerin kullanılması • Docker file içerisinde add yerine copy kullanılması • Docker deamon’un selinux aktif şekilde başlatılması • Konteynerlarda ssh çalıştıırlmamalı, erişimler ana host üzerinden yapılmalı
- 22. @BGASecurity Konteyner Loglama • Konteyner logları (web, db vb.) • Orkestrasyon aracı logları • Host os logları
- 24. @BGASecurity Wazuh ile Konteyner Aktivitelerini Loglama