Konteynıra özel güvenlik; hız ve emniyet demek

Kurumsal hibrit bulut mimarisinde iş sürekliliğini ve analiz yetkinliğini sağlamak için konteynır temelli işleyiş, bu işleyişte de güncel bir güvenlik mimarisi önem kazanıyor.

“Garanti’li Konteynır Güvenliği” dijital etkinliğinin açılış konuşmasını BTHABER Şirketler Grubu Başkanı Murat Göçe yaptı. Güvenlik başlığındaki gelişime dikkat çeken Murat Göçe, konteynır odaklı mimarinin detaylarının da önemine işaret etti. Exclusive Networks, Palo Alto Networks ve Soitron sponsorluğunda 27 Nisan’da gerçekleştirilen etkinlikte ilk sunumu ise “Geçmişten Geleceğe Konteyner Güvenliğini Anlamak” başlığı ile Soitron Siber Güvenlik Servisleri CTO’su Hakan Ünsal yaptı. Yıllar içinde güvenlik başlığındaki değişim ve gelişime dikkat çekerek sözlerine başlayan Hakan Ünsal, konteynır yapısının daha güvenli olduğuna vurgu yaptı. Buna göre, uygulama ilk önce tek bir platform üzerinden çalışır haldeydi. Kaynak kullanımını azaltmak adına bunları yavaş yavaş sanal sistemlere taşıdıklarını, sonrasında ise sunucusuz ve tamamen bulut üzerinde çalışacak sistemlere doğru gelişimi anlatan Hakan Ünsal, “Süreç içerisinde güvenlik sektörü işin içerisine entegre olan birçok sistemi, mekanizmayı geliştirdi. Türkiye’de de çok fazla kurumda bu iş yapış süreçlerinin güvenlik mimarileriyle iç içe geçerek çalıştıklarını görüyoruz” bilgisini de verdi. Konteynır ve sanal makine arasındaki temel farklılıklara bakmak gerektiğini hatırlatan Hakan Ünsal, şöyle devam etti:

Sistemler arasında erişim önemli

“Sanal makine dünyasında klasik sunucuda olduğu gibi tüm işletim sistemini, paketleri, güncellemeleri tek bir paket halinde sanallaştırıyoruz. Tümü kendi içerisinde birbirinden bağımsız bir şekilde izole, dışarıdan gelen dengeleyici sayesinde bir mikro mimari kurmak mümkün. Ancak konteynır dünyasında sadece bir işletim sisteminin kaynaklarını sanallaştırıp, üzerinde çalışan uygulamalarla kendi içinde kendi ihtiyacına uyacak kadar parçaları koymamız daha pratik şekilde gerçekleştiriliyor. Bir uygulamanın sadece yük artışında olan parçalarını hızlıca çoğaltarak dağıtmak, gerektiğinde hızlıca devreden çıkarmak söz konusu. Burada sürat çok önemli. Erişim kontrolü, konteynır dünyasında insan bazlı olarak düşünülmez, çalışan sistemler arasındaki erişim çok önemlidir. Uygun önlemler de alındığında, diğer süreçlerden halihazırda ayrı olmasından kaynaklı olarak izole adacıklar oluşturmamızı sağlayan bir teknoloji. Bunu yönetirken belirli bir şablonumuz, haritamız var. Bu tip sistemler tümünü paketleyip almanızı sağlıyor. Sadece ihtiyaç duyduğunuzu konteynır mimaride görebiliyorsunuz ve işletim sistemi geri kalanını paylaştırıp kullanmanızı sağlıyor. Konteynır mimaride sadece ihtiyaç duyulan kodu sürekli taramamız onun içerisinde ileride zararlı olabilecek bir kodu tespit etmemiz çok önemli. Kubernetes gibi sistemler ihtiyaç duyduğunuz bilgileri çekiyor, bir paket halinde konteynırda devreye sokmanızı sağlıyor. Sürekli entegrasyonla, dağıtık mimarileri artık rahatlıkla sistemde harekete geçirebiliyorsunuz. Bizim eskiden güvenli olmayan bir mimari üzerine güvenli bir mimari eklemeye çalışma faaliyetimizi, bu sistemde geliştirme aşamasında, developer’larınıza bir kültür olarak transfer etmemiz mümkün. Ekiplere artık sistemlerinde entegre çalışmayı, onlara vereceğimiz kaynaklar üzerinden kodu güvenli bir şekilde yazmalarını, problemli kodlarını işletim sistemlerinde göstereceğimizi, bu sayede kodlarını daha güvenli şekilde yazabileceklerini söylüyoruz. Bu sayede onları da güvenliğin bir parçası olarak eğiterek, bu süreçlere dahil etmemiz mümkün oluyor. Güvenlik artık sadece güvenlikçilerin değil, kullanıcıların da içinde yer aldığı bir ürün. Kodunuzu geliştirme aşamasındaki bir problemi hemen teşhis edebiliyorsunuz. Bu, ürün haline geldikten sonra sorunu çözmekten çok daha efektif bir mekanizma. Konteynır mimarisinde; kodunuzu geliştirirken, bunu depolamak, çalıştırmak için alabileceğiniz birçok önlemler var. Tüm bunları otomatize bir şekilde yapmak, kodlar, uygulamalar arasındaki iletişimi görmek mümkün. Palo Alto Networks’ün bu konuda çözümleri var. Bu noktada bize, son kullanıcılara, kurumlara düşen görev ise ölçeklenebilir, güvenilir bir şekilde çalışan küçük mimarilere kullanmaya geçişte adımlarımızı dikkatli atmak.”

Yetkilendirmelerde tam kontrol

“Prisma Cloud Compute (Twistlock)” başlıklı sunumuyla Palo Alto Networks Sistem Mühendisi Fuat Kılıç, network güvenliğinde konteynır mimarisinin yarattığı farklara dikkat çekti. Fuat Kılıç’a göre, konteynır mimaride çok farklı bir dünya var. Palo Alto Networks’ün Prisma Cloud ürün grubu ise sadece konteynır değil, tüm cloud native yazılımları için güvenlik tedbirlerini içeriyor. Prisma Cloud ürün ailesi; hem public cloud, hem de private cloud, native cloud ürünleri için olan platform ve birinci bileşen Cloud Security Posture Management. Burası bulut servis sağlayıcılardan alınan hizmetler için sağlanan uyum ve tehdit tespiti gibi özellikleri sunan bileşen. Prisma Cloud tüm sanal makineleri, network operasyonlarını, konteynır servislerini sunuyor. “Cloud Workload Protection ürünü; Palo Alto Networks’e yaklaşık 22 ay önce katıldı. Olaya sadece network güvenliği penceresinden bakıyorduk. Bu ürünle birlikte konteynır da hayatımıza girdi” bilgisini veren Fuat Kılıç, şöyle devam etti:

“Cloud Network Security de bunun önemli bir parçası. İki ana segmentte hizmet sunabiliyoruz. Bir tanesi Identity-Based Microsegmentation. Burada konteynırlar arası segmentasyon mümkün. Bu mikro servis, mikro servisle konuşurken ulaşacağı bileşenler bunlar olacaktır. Bunun üzerine Palo Alto Networks kendi kontrollerini de kattı. Son olarak da Infrastructure Entitlement Management’ı duyurduk. Konteynırlar için hem özel hem de genel bulutta yetkilendirmeleri ve yetkilendirmenin kontrollerini sağlamış oluyoruz.”

Ölçeklenebilir mimaride güvenlik esas

Bankalarda da konteynır teknolojisi giderek tercih edilen bir teknoloji haline geliyor.  Bu konuda uygulamalı proje örneği olarak Garanti BBVA Teknoloji BT Güvenlik Mühendisi Etem Çitil, BTHABER Şirketler Grubu Başkanı Murat Göçe’nin sorularını yanıtladı. Etem Çitil’in dikkat çektiği gibi, her yerde, daha hızlı, ölçeklenebilir bir şekilde çalışabilecek cloud native uygulamalarının gerekliliği söz konusu. Dünya o yöne doğru gidiyor. “Biz de bankada tüm altyapı ve yazılım ekipleri olarak bir inisiyatif oluşturduk. Farklı domain’lerde farklı Agile ekipler oluşturuldu ve bu işe başlandı” detayını paylaşan Etem Çitil, ekledi: “Bunun için ayrı bir organizasyonel yapı oluşturulmadı. Güvenlik, sistem ekipleri içerisinden seçilen arkadaşlarla bu işe başladık.” Etem Çitil, Murat Göçe’nin sorularına şu yanıtları verdi:

“Bilişim sektörünün en büyük sıkıntısı; nitelikli eleman tedariği. Türkiye’de bu işler yeni gelişmeye başladığı için bu işi bilen çok fazla insan bulmak zor. Biz burada bir inisiyatif başlatarak tüm güvenlik ekiplerine bir eğitim seti oluşturduk. Bu müfredat ile birlikte tüm güvenlik ekiplerini sıfırdan 100’e çıkaracak, konu ile ilgili farkındalıklarını yükseltecek bir inisiyatif başlattık. Organizasyonel olarak neler yapabileceği de gündemde ve “Cloud güvenliğini mevcut ekiplere mi aktaralım, yoksa bununla ilgili ayrı bir ekip mi kuralım?” şeklinde. Şu an biz bir sanal ekip olarak çalışıyoruz. Güvenlik teknolojileri ekibinde, aynı zamanda özel bulut tarafında ayrı bir inisiyatifte Agile bir ekiple de çalışıyorum. Bununla ilgili danışmanlıklar aldık ve ‘cross-functional team’ adında bir kavramın dünyada ortaya çıktığını gördük. Konteynır ve Kubernetes ortamında sadece güvenlik bilmek yetmiyor. Bu işin altyapısını Linux’tan başlayarak defans ve ofansif kısmını yapabilecek insanlara ihtiyaç var. Biz de böyle bir ekip kurma yolundayız. Bu etkinliğin sponsorları olan Soitron, Exclusive Networks ve Palo Alto Networks ile banka olarak birçok çalışmamız var. Her geçen gün yeni bir teknoloji, kavram çıkıyor. Bu süreç, son 5 yıldır çok fazla hızlandı. Bir yandan buna şahit olmak, bizim için bir şans. Biz de Garanti BBVA olarak bu işin sıkı takipçisiyiz. Yeni teknolojileri gerekli risk kontrolleri yapılarak bünyemize almak istiyoruz. Yeni nesil network güvenlik donanımlarını, uygulamalarını inceliyoruz. Bu iş, sadece güvenlik düşünülerek yapılmış bir iş değil. Yazılımcılar bu sistemi daha hızlı dağıtmak, ölçebilmek, yazılım geliştirmeyi konuşarak ortaya çıkarmış durumdalar. Biz, bunun arkasında güvenliğini geliştirmeye çalışıyoruz. Konteynır, hiper-vizör teknolojisinden farklı olarak hepsi aynı kernel’de çalışıyoruz. Uygulama tarafında izoleyiz; ancak kernel’leri nasıl izole edebileceğimiz yönünde ortaya çıkan “Kata-Container” kavramının da sıkı takipçisiyiz. Bu noktada neler yapabileceğimizi kurumca konuşuyoruz. Konteynır mimarisinde orkestrasyon tarafında birçok ürün var. Sadece Prisma Cloud değil, birçok ürün mevcut. Bu noktada ürünlerin API desteklerini çok iyi kavramak lazım. Bu noktada API destekleri bunların orkestrasyonları yapılabilir.”

2021’de daha da ön planda olacak

Exclusive Network Türkiye Sistem ve Network Güvenlik Uzmanı Selim Küçükgül ve Soitron Siber Güvenlik Servisi Siber Güvenlik Danışmanı Emre Çağlayan’ın teknik demosunun ardından kapanışı Palo Alto Networks Türkiye ve CIS Kıdemli Kanal Müdürü Ali Fuat Türkay yaptı. Sürekli gelişen bir konu olduğu için herkesin kendisini geliştirmesi gerektiğine vurgu yapan Ali Fuat Türkay, “Konu sadece bankalar, büyük kurumlar için değil. Konu, e-ticaret firmaları, hastaneler, üretim yapan firmalar için de çok önemli, her alana bulaşan, fayda sağlayan bir konu. Bu, 2021’de daha fazla gündemimize gelecek bir konu olacak. Siber güvenlik buradaki dalgayı daha doğru bir zamanda yakaladı. Bir şeylerin kurulup çevresine bir yapının oturtulmasından ziyade baştaki safhalarda, daha doğru teknoloji ve ürünlerle sürece en başından dahil olabiliyoruz. Bu da kendini başarılı projelerle gösteriyor” yorumunu yaptı.