Azure Kubernetes Service (AKS) kullanırken, güvenlik kapsamlı bir yaklaşım gerektirir. Bu makale, AKS’deki uygulamalarınız ve kümeleriniz için güvenlik kavramlarını, derleme güvenliğinden başlayıp, uygulama güvenliğine kadar detaylı bir şekilde ele alır.
Build Güvenliği
Güvenli bir tedarik zinciri, derleme ortamını ve kayıt defterini kapsar. Görüntü derlemelerinin güvenlik açığı ve uyumluluk değerlendirmesi için statik analiz yapılması esastır. Geliştirme sürecini kesintiye uğratan bir güvenlik açığı bulunsa dahi, bu aşamada yapılan analizler, geliştirme ekiplerinin eyleme geçirilebilir bilgilere erişimini sağlar. Bu, belirli güvenlik açıklarına göre segmentasyon ve potansiyel sorunların erken aşamada düzeltilmesi için geliştiricilere zaman kazandırır.
Registry Güvenliği
Kayıt defteri güvenliği, görüntülerin güvenlik açığı değerlendirmesini içerir ve derleme ortamından gelmeyen görüntüleri belirler. Noter V2 kullanılarak imzalanan görüntüler, dağıtımların güvenilir bir kaynaktan geldiğinden emin olunmasını sağlar.
Cluster Güvenliği
AKS, Kubernetes’in ana bileşenlerini yönetilen bir hizmet olarak sunar. Her AKS kümesi, izole edilmiş bir ortamda çalışır ve Kubernetes’in temel bileşenlerini barındırır. Kubernetes API sunucusuna erişimi sınırlamak için Yetkili IP aralıkları veya özel ağ yapılandırmaları kullanılabilir. Ayrıca, Kubernetes rol tabanlı erişim denetimi (RBAC) ve Azure RBAC ile erişim kontrolü sağlanabilir.
Node Güvenliği
AKS düğümleri, Azure sanal makineleridir ve işletim sistemi güvenlik güncellemeleriyle otomatik olarak dağıtılır. Linux ve Windows düğümleri desteklenir ve her ikisi de güvenlik açısından güçlendirilmiştir. Düğüm yetkilendirmesi, Doğu-Batı saldırılarına karşı koruma sağlar ve varsayılan olarak etkindir.
Network Güvenliği
AKS, ağ güvenliğini sağlamak için çeşitli yöntemler sunar. Kubernetes ağ ilkeleri, podlar arası ağ trafiğini sınırlamak için kullanılabilir. Azure ağ güvenlik grupları, VM’ler ve podlar arası trafik akışını yönetmek için kullanılır. Ayrıca, Kubernetes giriş denetleyicileri ve Azure’un sanal ağ özellikleri, daha detaylı ağ güvenliği politikalarının uygulanmasına olanak tanır.
Uygulama Güvenliği
AKS’deki uygulamalarınızın güvenliğini artırmak için Kapsayıcılar için Microsoft Defender kullanılabilir. Bu, uygulamalarınızdaki güvenlik açıklarını tespit etmeye ve bunlara karşı koruma sağlamaya yardımcı olur. Uygulama güvenliği, sürekli tarama ve düzeltme eki uygulama işlemlerini içerir.
Kubernetes Secrets
Kubernetes secret’ları, podlara hassas verileri güvenli bir şekilde eklemenizi sağlar. Bu, erişim kimlik bilgileri veya anahtarlar gibi bilgilerin güvenliğini sağlar. Gizli diziler, podların ihtiyaç duyduğu anda sağlanır ve diske yazılmaz. AKS’de güvenliği sağlamak, uçtan uca bir yaklaşım gerektirir. Bu makalede ele alınan güvenlik kavramları, güvenli bir Kubernetes ortamı oluşturmanıza yardımcı olacak temelleri sunar. Daha güvenli uygulamalar ve kümeler oluşturmak için bu kavramları kapsamlı bir şekilde uygulamanız önemlidir.