12. @BGASecurity
Orkestrasyon Güvenliği
• Rol bazlı erişim kontrolü uygulanması (k8s)
• 3.parti kimlik doğrulama api kullanılması
• Nodelar için network izolasyonu yapılmalı
• Network trafiği monitor edilmeli ve limitlenmeli
• Güvenlik güncelleştirmeleri takip edilmeli
• Audit logların aktif edilmesi
13. @BGASecurity
Orkestrasyon Güvenliği – k8s
• Kubernetes API istemcileri için kimlik doğrulama olmalı
• Rol bazlı erişim kontrolü (kimin ne yapabileceğini belirlenmesi)
• API trafiğini TLS ile şifreli yapılması
19. @BGASecurity
Konteyner Sıkılaştırma
• Root kullanıcısını kullanmak yerine yeni kullanıcı eklemek
• Gereksiz network erişimlerini engellemek
• Yeni ayrıcalıklar edinmeyi kısıtlama
• Docker.service ve docker.socket dosyaları (root:root 644)
• /etc/docker dizini (root:root 755)
• Konteynerın çalıştığı host üzerinde ki sıkılaştırmalar da unutulmamalı
Kaynak ve daha fazlası için: https://www.slideshare.net/bgasecurity/docker-konteyner-teknolojisi-nedir
20. @BGASecurity
Konteyner Sıkılaştırma
• Güvenilir konteyner base imajların kullanılması
• Konteynerlar içerisinde gereksiz paketlerin bulundurulmaması
• Güvenlik taramalarının yapılması ve patch geçilmesi
• Doğrulanmış paketlerin kullanılması
• Docker file içerisinde add yerine copy kullanılması
• Docker deamon’un selinux aktif şekilde başlatılması
• Konteynerlarda ssh çalıştıırlmamalı, erişimler ana host üzerinden yapılmalı