Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği

1. @BGASecurity
Saldırı, Savunma ve Loglama Açısından
Konteyner Güvenliği

2. @BGASecurity
Musab YARDIM
Senior Security Solutions Engineer
https://musabyardim.com
LinkedIN: musabyardim
Twitter: musabyardim
Mail: musab.yardim@bgasecurity.com
Hakkımda

3. @BGASecurity
Ajanda
Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
İmaj Güvenliği
Orkestrasyon Güvenliği
Mitre ATT&CK Konteyner Matrisi
Docker İmajlarında Zafiyet Taraması Nasıl Yapılır?
Konteyner Sıkılaştırma (hardening)
Konteyner Yapılarında Loglama

4. @BGASecurity
Nedir bu konteyner?

5. @BGASecurity
İmaj Güvenliği
• Güvenli olmayan yapılandırmalara sahip imajlar (%42)
• Zafiyet barındıran imajlar (%51)
• İmajların çalıştığı hostların üzerinde ki zafiyetler (%24)
• Compliance riskleri (%43)
Kaynak: Paloalto Unit42

6. @BGASecurity
İmaj Güvenliği - İmaj Türleri
• Verified Publisher
• Official Images

7. @BGASecurity
İmaj Güvenliği - Docker Content Trust (DCT)
• İmajların
• Orjinalliği
• Bütünlüğü
• Yayın tarihi

8. @BGASecurity
İmaj Güvenliği - Docker Trusted Registry (DTR)
• On-prem veya Private-Cloud imaj registeryleri oluşturma

9. @BGASecurity
İmaj Güvenliği
• Neden?

10. @BGASecurity
Distroless Images
• Nedir?
• Neden kullanılmalıdır?
• Biz nasıl oluşturabiliriz. (https://bazel.build)

11. @BGASecurity
Orkestrasyon Araçları
• Kubernetes
• Openshift
• Cloud (Amazon, IBM vb.)

12. @BGASecurity
Orkestrasyon Güvenliği
• Rol bazlı erişim kontrolü uygulanması (k8s)
• 3.parti kimlik doğrulama api kullanılması
• Nodelar için network izolasyonu yapılmalı
• Network trafiği monitor edilmeli ve limitlenmeli
• Güvenlik güncelleştirmeleri takip edilmeli
• Audit logların aktif edilmesi

13. @BGASecurity
Orkestrasyon Güvenliği – k8s
• Kubernetes API istemcileri için kimlik doğrulama olmalı
• Rol bazlı erişim kontrolü (kimin ne yapabileceğini belirlenmesi)
• API trafiğini TLS ile şifreli yapılması

14. @BGASecurity
Mitre ATT&CK Konteyner Matrisi

15. @BGASecurity
Mitre ATT&CK Konteyner Matrisi

16. @BGASecurity
Mitre ATT&CK Konteyner Matrisi
• T1613 - Container and Resource Discovery
• T1612 - Build Image on Host
• T1610 - Deploy Container

17. @BGASecurity
Docker İmajlarında Zafiyet Taraması
• Docker Scan (Snyk)
• Trivy*
• Clair*
• Anchore
• Dagda
Kaynak: https://geekflare.com/container-security-scanners

18. @BGASecurity
Docker Zafiyetleri

19. @BGASecurity
Konteyner Sıkılaştırma
• Root kullanıcısını kullanmak yerine yeni kullanıcı eklemek
• Gereksiz network erişimlerini engellemek
• Yeni ayrıcalıklar edinmeyi kısıtlama
• Docker.service ve docker.socket dosyaları (root:root 644)
• /etc/docker dizini (root:root 755)
• Konteynerın çalıştığı host üzerinde ki sıkılaştırmalar da unutulmamalı
Kaynak ve daha fazlası için: https://www.slideshare.net/bgasecurity/docker-konteyner-teknolojisi-nedir

20. @BGASecurity
Konteyner Sıkılaştırma
• Güvenilir konteyner base imajların kullanılması
• Konteynerlar içerisinde gereksiz paketlerin bulundurulmaması
• Güvenlik taramalarının yapılması ve patch geçilmesi
• Doğrulanmış paketlerin kullanılması
• Docker file içerisinde add yerine copy kullanılması
• Docker deamon’un selinux aktif şekilde başlatılması
• Konteynerlarda ssh çalıştıırlmamalı, erişimler ana host üzerinden yapılmalı

21. @BGASecurity
Konteyner Sıkılaştırma

22. @BGASecurity
Konteyner Loglama
• Konteyner logları (web, db vb.)
• Orkestrasyon aracı logları
• Host os logları

23. @BGASecurity
Docker – Linux Audit Kuralları

24. @BGASecurity
Wazuh ile Konteyner Aktivitelerini Loglama

25. @BGASecurity
-Teşekkürler-
bgasecurity.com | @bgasecurity