Docker?'?n bir?ok hareketli par?as? vard?r ve g¨¹venli?ini sa?lamak, eski da??t?m teknolojilerini korumaktan daha karma??kt?r. A? ve uygulama g¨¹venlik duvarlar?ndan konteyner ?al??ma zaman? savunmas?na ve ana bilgisayar korumas?na kadar b¨¹t¨¹nsel bir yakla??m gerektirir.
Docker? Konteyner G¨¹venli?i
Docker konteynerinin g¨¹venli?ini sa?lamak, di?er konteynerlar?n g¨¹venli?inden farkl? de?ildir. Ana bilgisayardan a?a ve aradaki her ?eye her yerde g¨¹venlik sa?layan her ?ey dahil bir yakla??m gerektirir. Hareketli par?alar? nedeniyle, konteynerlerin g¨¹venli?ini sa?lamak bir?ok kurulu? i?in zordur ve tetikte olmaktan daha fazlas?n? gerektirir.
G?z ?n¨¹nde tutulmas? gereken hususlar
Docker konteynerlar? g¨¹venli hale getirilirken g?z ?n¨¹nde tutulmas? gereken baz? hususlar:
Kaynak kotalar?n? kullan?n
Kaynak kotalar?n? kullanmak, bir konteyner i?in bellek ve CPU al?m?n? s?n?rlama olana?? sa?lar. Her bir konteyner i?in kaynak kotalar?n? yap?land?rmak, yaln?zca ortam?n verimlili?ini art?rmaya yard?mc? olmakla kalmaz, ayn? zamanda ortam?n?zdaki t¨¹m kontenerlardaki kaynaklar?n dengesizli?ini de ?nleyebilir.
Bu, konteynerlerinizin bekledi?iniz h?zda ?al??mas?n? ve en ?nemlisi g¨¹venli?in art?rmas?n? sa?layacakt?r. Bir konteynerda k?t¨¹ ama?l? i?erik bula??rsa, kota doldu?unda kesilece?i i?in konteynerda ?ok fazla kaynak kullan?lamaz. Bu, sald?r?lar?n etkisini en aza indirir. Bu, kolayca faydalan?labilecek basit bir g¨¹venlik takti?idir ve komut sat?r? bayraklar? kullan?larak yap?labilir.
Docker konteynerlar? k?k kullan?c? olarak ?al??t?r?lmamal?d?r
Bir uygulama olu?tururken, en az ayr?cal?k ilkesine uymak en iyi uygulamad?r. Bu, uygulaman?n eri?imini yaln?zca ?al??mak i?in ihtiya? duydu?u kaynaklarla s?n?rlamak anlam?na gelir. Bu, konteynerlar?n?z? beklenmedik eri?imden koruman?n en iyi yollar?ndan biridir.
Docker konteynerlar?n?n g¨¹venli?i s?z konusu oldu?unda, bu ?ok ?nemlidir ve Docker varsay?lan ayarlar? konteynerlar? k?k kullan?c? olarak ?al??t?racak ?ekilde yap?lmamal?d?r. ?rne?in, konteyner uygulaman?z bir istismara kar?? savunmas?zsa ve k?k kullan?c? olarak ?al??t?r?yorsan?z, sald?r? y¨¹zeyini geni?letir ve sald?rganlar?n ayr?cal?kl? y¨¹kselme elde etmeleri i?in basit bir yol olu?turur.
Docker konteyner kay?tlar?n?z?n g¨¹venli?inden emin olun
Konteyner kay?tlar?, ?zellikle Docker konteynerlerinde bulunanlar, konteynerleri bu kadar g¨¹?l¨¹ bir platform yapan en ?nemli unsurdur. Kay?tlarla, kolayca ve h?zl? bir ?ekilde indirilebilen merkezi bir imaj havuzu olu?turabilirsiniz. Ancak, Docker Trusted Registry gibi kapsaml? bir ara?t?rma yapabildi?iniz g¨¹venilir bir kay?t defteri kullanmazsan?z, bir?ok g¨¹venlik riskiyle kar?? kar??ya kal?rlar. Docker kay?t defteri ile, Internet'in olu?turdu?u riskleri hafifletmek i?in BT altyap?n?zda zaten uygulanan g¨¹venlik duvar?n?n arkas?na y¨¹klersiniz. Ancak bu durumda dahi, kullan?c?lar?n kay?t defterini y¨¹klemelerini veya kay?t defterinden indirmelerini reddetmelisiniz.
°Õ¨¹³¾ bu ?al??malardan ka??nmak ve a??k eri?im vermek ?ok cazip olabilir. Fakat bu k¨¹?¨¹k rahats?zl?k kay?t defterinde b¨¹y¨¹k bir ihlali ?nleyebilir. Bu durumu ??zmek i?in rol tabanl? eri?im kontrol¨¹ verebilirsiniz. Bu, kay?tlara tam olarak kimin nereye eri?ebilece?ini kontrol etmenize olanak tan?r.
G¨¹venilir bir kaynak kullan?n
Art?k konteyner kay?t defteri g¨¹venli hale getirildi?ine g?re, g¨¹venilir olmayan bir kaynaktan al?nan konteyner imajlar?n?n enfekte olmas?n? istemezsiniz. Sadece tek bir t?klamayla herkesin eri?ebilece?i konteyner imajlar?n? indirmek uygun g?r¨¹nebilir, ancak indirme kayna??n?n g¨¹venilir veya do?rulanm?? olmas?n? sa?lamak son derece ?nemlidir.
Dikkat ve g¨¹venlik a??s?ndan, genel konteyner kay?tlar?ndan ka??nmak ve Docker'?n Docker Hub gibi tekliflerine sad?k kalmak en iyisidir. Docker konteynerlar?n?z? g¨¹venceye almak i?in ekstra ad?m atmak ¨¹zere Docker imaj? g¨¹venlik a??klar?n? hafifletmek ve g¨¹venli hale getirmek i?in imaj tarama ara?lar?n? kullanman?z gerekir.?
Kodun kayna??na gidin
Yukar?da ele al?nd??? gibi, Docker konteynerlar?n?z i?in g¨¹venilir ve g¨¹venli konteyner imajlar? sa?lamak ?nemlidir. Bununla birlikte, bu imaj g¨¹venilir bir kay?t defterinden gelmi? olsa bile, vir¨¹sl¨¹ kod i?ermedi?inden emin olmak i?in imaj i?indeki kodu ara?t?rmak iyi bir uygulamad?r. Docker imajlar?, d?? kaynaklardan gelen, g¨¹venilir kaynaklardan t¨¹retilemeyen orijinal kod ve paketlerin birle?imine sahiptir.
Bu senaryoda, kaynak kodu analiz ara?lar?ndan faydalanmak en iyi y?ntemdir. ?majlar? ald?ktan sonra, Docker imajlar?ndaki t¨¹m paketlerin kaynaklar?n? indirerek kodun nereden geldi?ini belirlemek i?in paketleri tarayabilirsiniz. Bu, g?r¨¹nt¨¹lerden herhangi birinin bilinen g¨¹venlik a??klar?na sahip olup olmad???n? ortaya ??karman?z? ve sizi ilk derlemeden koruyabilmenizi sa?lar.
API¡¯leri ve a?lar? g¨¹venli?i ?n planda tutarak tasarlay?n
Docker kapsay?c?lar?n?n birbirleriyle ileti?im kurabilmeleri i?in API¡¯leri (uygulama programlama arabirimleri) ve a?lar? kullan?rlar. Bu ileti?im, konteynerlerin d¨¹zg¨¹n ?al??mas? i?in gereklidir, ancak uygun g¨¹venlik ve izleme gerektirir. API'ler ve a? asl?nda Docker konteyner?n?n bir par?as? olmasa da Docker ile birlikte kullan?lan kaynaklar olduklar?ndan konteyner g¨¹venli?i a??s?ndan yine de bir risk olu?tururlar. Bunu g?z ?n¨¹nde bulundurarak, bir sald?r?y? h?zl? bir ?ekilde durdurabilmek i?in API¡¯lerinizi ve a??n?z? kolayl?kla izlemeyi ve g¨¹venli?i ?n planda tutarak tasarlaman?z gerekir.?
?zet
Docker konteyn?rlar?n?z? g¨¹vence alt?na almak kolay bir i? de?ildir, ancak yapt???n?z ?al??malar sonu?lara de?ecektir. B¨¹t¨¹nsel bir yakla??m gerektirir ve konteyner ortam?n? t¨¹m seviyelerde daha s?k? hale getirmek ?nemlidir. Yukar?daki en iyi uygulamalar bir y¨¹k gibi g?r¨¹nse de, gelecekte b¨¹y¨¹k zaman kazand?racak ve sizi ?ok ?nemli g¨¹venlik risklerinden kurtaracakt?r.?
?lgili Ara?t?rmalar
?lgili Makaleler