Konteyner teknolojileri, modern yazılım geliştirme süreçlerinin yeni standardı haline geldi. Geliştirici verimliliğini artırması, altyapı maliyetlerini düşürmesi ve ürünlerin pazara sunulma süresini kısaltması sayesinde kurumsal kullanım oranları bugün %98’e ulaştı. Ancak bu teknolojinin sunduğu hız ve operasyonel verimlilik, giderek artan ve daha karmaşık hale gelen siber saldırıların yanı sıra sıkı düzenleyici uyumluluk gereksinimleri nedeniyle sekteye uğrayabiliyor. Kaspersky Container Security’nin (KCS) en son sürümü, işletmelerin ortaya çıkan bu zorluklarla başa çıkmasına yardımcı olurken konteyner tabanlı geliştirme süreçlerinin temel avantajlarını korumayı amaçlıyor.
KCS, konteyner tabanlı uygulamaların yaşam döngüsünün her aşamasını koruyan, hem şirket içi (on-premise) kurulumlar hem de izole ağlar için uygun, hepsi bir arada bir güvenlik çözümüdür. Yeni sürüm, geliştiricilerin ihtiyaçlarına çok daha uygun ve işlevsel bir deneyim sunuyor.
Kendi Güvenlik Kurallarınızı Tanımlayın: Yeni DAC ve Güvence Politikaları
Şirketler, çoğu zaman ürünlerin varsayılan güvenlik ayarlarından ziyade kendi iç standartlarına ve özel güvenlik düzenlemelerine güveniyor. Bu ihtiyaca yanıt veren KCS, artık imaj güvence (image assurance), Dynamic Admission Controller (DAC) ve güvenlik kıyaslamaları için özel politikalar oluşturulmasına olanak tanıyor.
Kuruluşların hazır gelen varsayılan kuralların yanı sıra kendi ihtiyaçlarına özel politikaları da uygulayabilmesi, güvenlik ekiplerinin iş yükünü azaltırken altyapı entegrasyonunu hızlandırıyor ve genel güvenlik duruşunu güçlendiriyor. Ayrıca özel güvenlik kıyaslama kontrolleri oluşturabilme yeteneği, kurumların yerel uyumluluk değişikliklerine veya yeni yürürlüğe giren düzenlemelere daha hızlı uyum sağlamasına yardımcı oluyor.
Ölçeklenebilir Yönetim: Konfigürasyon İçe ve Dışa Aktarımı
Kullanıcılar artık tüm sistem yapılandırmasını (politikalar, ajan grupları, profiller ve diğer ayarlar dahil) yedekleme veya diğer ürün örneklerine çoğaltma amacıyla dışa aktarabiliyor. Dışa aktarılan dosya, şifreli bir paket olarak ya da içe aktarım öncesi manuel düzenlemeye olanak tanıyan açık bir formatta oluşturulabiliyor. Bu yeni özellik, özellikle karmaşık ve çok sahalı ortamlara sahip büyük ölçekli işletmeler için büyük değer taşıyor. Örneğin; bir alt kuruluş, ana şirketten bağımsız olarak kendi özel BT altyapısını işletiyorsa, yapılandırma dosyası merkez ofisten dışa aktarılarak alt kuruluş tarafından yerel olarak içe aktarılabiliyor. Bu özellik, güvenlik uzmanları için yedekleme rutinlerini kolaylaştırırken, büyük ölçekli dağıtımlarda ayar ve politika transferini de basitleştiriyor.
Tedarik Zinciri ve Kontrol Düzlemi Saldırılarına Karşı Gelişmiş Savunma
Güvenlik ajanları artık master düğümlerde de destekleniyor. Bu sayede kontrol düzleminin daha kapsamlı şekilde denetlenmesi mümkün hale geliyor. Bu geliştirme, kümenin kritik orkestrasyon katmanındaki hatalı yapılandırmaları ve olası ihlal girişimlerini tespit ederek, tüm altyapının tek bir yönetim konsolu üzerinden merkezi olarak kontrol edilmesini sağlıyor
Tedarik zinciri risklerini azaltmak amacıyla yeni sürüm, GitHub Actions yapılandırma hatalarını tespit etmeye yönelik özel kurallar da içeriyor. Güvenli olmayan iş akışı tetikleyicileri, güvenilmeyen giriş verilerinin hatalı işlenmesi veya güvensiz sürüm yönetimi politikaları gibi yanlış yapılandırmalar, saldırganların otomatik iş akışlarını ele geçirmesine, üretim ortamına kötü amaçlı kod enjekte etmesine veya altyapı anahtarlarını tehlikeye atmasına yol açabiliyor. Güvenlik ekipleri, GitHub depo taramaları sırasında bu riskleri tespit edip ortadan kaldırabiliyor. Bu süreç, ister KCS tarayıcısının CI/CD iş akışlarına entegre edilmesiyle ister bağımsız modda çalıştırılmasıyla gerçekleştirilebiliyor.
KCS’nin yeni sürümünde dikkat çeken yenilikler:
- Node-agent performansında 2,5 kat iyileştirme: Yeni uygulama mimarisi, yüzlerce kuralın pod’ların CPU ve bellek tüketimi üzerinde herhangi bir ek yük oluşturmadan işlenmesini sağlıyor.
- DAC performansında 10 kat hız artışı: Kube-agent tarafına isteğe bağlı tarama sonucu önbellekleme özelliği eklendi. Böylece ürün çekirdeğine yapılan ek sorgular ortadan kaldırılarak DAC talepleri daha hızlı işlenebiliyor.
- CI tarama sonuçları için erişim kontrolü: Kullanıcılar artık CI tarama sonuçlarına erişimi, kuruluşlarının proje görünürlüğü ve izolasyon politikalarına uygun şekilde yapılandırabiliyor.
- İmaj analiz detaylarında SBOM görüntüleme: Taranan konteyner imajları artık SBOM (Yazılım Malzeme Listesi) olarak dışa aktarılabiliyor. Bu özellik, zafiyet yönetim araçları ve kayıt sistemleriyle entegrasyonu kolaylaştırırken yazılım tedarik zincirinde tam izlenebilirlik sağlıyor.
- Yeniden dağıtıma gerek kalmadan dinamik ajan güncellemeleri: Grup yapılandırmalarındaki değişiklikler anında uygulanabiliyor; node-agent pod’larının yeniden dağıtılmasına ve kesinti yaşanmasına gerek kalmıyor. Bu sayede büyük ölçekli ortamların yönetimi kolaylaşırken yoğun yük dönemlerinde kaynakların gerçek zamanlı optimize edilmesi ve üretim kesintisi risklerinin azaltılması mümkün oluyor.
Kaspersky Bulut ve Ağ Güvenliği Kıdemli Ürün Pazarlama Müdürü Anton Rusakov-Rudenko şu ifadeleri kullanıyor:
“Konteyner güvenliğinin de konteynerleştirme teknolojisi kadar esnek ve hızlı olması gerektiğine inanıyoruz. Kaspersky Container Security’deki yeni yetenekler, modern DevOps süreçlerinin ihtiyaçlarını karşılamak üzere geliştirildi. Örneğin, yeni GitHub Actions tarama özelliği, güvenlik açıklarını yapılandırma kodunun içindeyken yakalayarak ekiplerin hataları en uygun maliyetli aşamada, yani daha geliştirme sürecinin başında tespit edip düzeltmelerine olanak tanıyor. Bu sürüm, hızlı dağıtım ile sıkı uyumluluk gereksinimleri arasındaki boşluğu etkili bir şekilde kapatarak, altyapıyı operasyonel yük oluşturmadan en güncel siber tehditlere karşı koruyor.”
Kaynak : 