Prisma Cloud Nam-ı Diğer Twistlock
Teknolojiyi yakından takip ediyoruz, container çözümlerini hayata geçirmeye başlayıp trendleri yakaladık derken bir yeniliği de güvenlik alanında yapma ihtiyacımız doğuyor. Geleneksel yöntemlerle deployment yaptığımız dönemlerdeki güvenlik araçlarının bize neden yetmediğini ve neden bu ürünlerin ötesine geçmemiz gerektiğini Container Security 101 isimli makalemde anlattım. Bu yazımda ise, container güvenlik ürünlerinden öne çıkan Prisma Cloud (Twistlock)’ ın özelliklerine yakından bakalım istiyorum.
Öncelikle Twistlock ücretli bir ürün, ürünü deneyebilmek için Palo Alto Networks Marketplace den lisans talebinde bulunuyoruz. Ardından bir k8s cluster üzerine kurulumunu yapıyoruz. Kurulum adımlarını Prisma Cloud Administrator’s Guide (Compute) sayfasından erişebilirsiniz, biz daha çok güvenlik çözümünü tanımaya odaklanacağız.
RADAR
Twistlock un kurulu olduğu kubernetes cluster üzerindeki namespace leri ve içerisindeki container larını gösteren RADAR özelliği gerçekten çarpıcı. Containeırların birbirleri hangi portlardan konuştuğunun yanı sıra, üzerlerinde hangi vulnerability’ler(güvenlik açıkları) olduğunu da buradan görebiliyoruz. Cluster üzerinde yeni bir pod ayağa kalktığında da, içerisindeki container taranarak RADAR a anında yansır.
DEFEND
Firewalls
Twistlock tarafından keşfedilen containerler arasındaki network bağlantılarına Firewalls menüsünden erişebiliyoruz. Buradan mevcut kuralları güncelleyebiliyor ya da yeni firewall kuralları oluşturabiliyoruz. Container lar arasında firewall ları yönetebildiğimiz gibi Host lar arasında da düzenleme yapabiliyoruz.
Aşağıda busybox container’ı üzerinden selenium-hub container ına erişimin Firewall üzerinden engellendiği bir örnek kural tanımını görebiliriz.
Source ve destination ları Network Object olarak tanımlayabiliyoruz.
Runtime
Twistlock’ın bir başka özelliği de runtime ı güvenli hale getirebilmesi. Aşağıda default rule un yanı sıra, cat kullanmayı, /etc ve /var dizinlerine erişmeyi engellemek için oluşturduğumuz iki custom rule örneği görüyoruz.
Kuralları tanımladığımız arayüzün kullanımı oldukça kolay. “/var & /etc” dizinlerine erişimi kısıtlama amacıyla File System menüsü altında prevent seçeneği ile ilerlediğimiz bir runtime rule görüyoruz. Prevent’ e alternatif olarak Block, alert gibi aksiyonlar da belirtebiliyoruz.
Process menüsü altından ise, process ler arasından cat i seçerek, cat kullanımını runtime de engelleyecek kuralı kolayca oluşturabiliyoruz.
Vulnerabilities
Vulnerabilty’ ler için default tanımlı kuralların yanı sıra imaja özgü yeni kurallar yazılabilir, sadece alert üretme değil, örneğin critical seviyede bir vulnerability olduğunda imajın deploy edilmesi de blocklanabilir.
Twistlock, cluster a deploy edilen imajları, registry de yer alan imajları ve CI hatları üzerinde entegrasyonu yapılan imajları tarama özelliği sunmaktadır.
Deployed tab ında cluster a deploy edilen, daha önce RADAR altında gördüğümüz imjalardaki vulnerability lerin listesi mevcut.
Registry Settings altından, taramak istediğimiz registry ayarlarını aşağıdaki gibi yapabiliyoruz.
CI hatları üzerinden vulnerability tarama için Kadriye Taylan’ın Azure DevOps Pipeline üzerinde entegrasyonu anlattığı makaleyi inceleyebilirsiniz.
Compliance
Güvenliği standardize etmek için Compliance kuralları kullanılır. Prisma Cloud içerisinde default olarak gelen compliance kuralları mevcuttur. Bu kuralları güncelleme ihtiyacı duyduğumuzda, kuralların yönetiminde zorluk yaşamamak için eklemelerimizi isim standardına uyarak yapmaya dikkat etmemiz öneriliyor.
Aşağıdaki örnekte “Image should be created with a non-root user” tanımını görüyoruz. İmajlarımızın taranması sonucunda bu kurala uymadan oluşturulan imajlarda bu alert i görebileceğiz.
Access
Access menüsü altında tanımlanan kurallar ile audit loglama sağlayabiliriz. Aşağıdaki kubernetes podlarına erişimin audit logu için oluşturulan bir kural tanımı yer almaktadır.
MONITOR
Tanımlama yaptığımız özelliklere ve tarama sonuçlarına Monitör menüsünden erişebililiyoruz. Burası da ürünün güçlü olduğu bir yön olarak karşımıza çıkıyor. Adım adım üzerinden geçerek bize verileri nasıl sunduğuna yakından bakalım.
Events
Event’ leri Container Audits, Kubernetes Audits, Cloud Native Firewall vb gruplamalar yaparak, adet bilgisini de içerecek şekilde yukarıdaki menüden filtreleyebiliyoruz.
Runtime
Host ve Container Runtime için yazdığımız kuralların çıktılarına da bu menüden erişebiliyoruz.
Vulnerabilities
Vulnerabilities menüsüne bir dashboard ile giriş yapıyoruz. Trendler ve Top Critical Vulnerability leri sunuş tarzı güvenlik aksiyonlarını planlamamızı kolaylaştırıyor.
Güvenlik taramasını,
- Twistlock’ın kurulu olduğu cluster üzerine deploy edilen imajlar,
- Tanımladığımız registry’ lerde seçtiğimiz imajlar,
- Pipeline’de build edilen imajlar ile
yapabileceğimizden bahsetmiştik. Bu menüden tanımlama yaptığımız tüm imajların tarama sonuçlarına erişebiliyoruz.
Taranan imajların güvenlik açığı ile ilgili sonuçlarına detay kısmından aşağıdaki gibi erişebiliyoruz, özellikle güvenlik açıklarının layer lara göre gösteriminin olması çarpıcı bir özellik olarak karşımıza çıkıyor.
Compliance
Compliance sonuçları için de yine Compliance Explorer yönetimi kolaylaştırıyor.
Kıssadan Hisse
Twistlock, sağladığı özellikleri bir platform altında toplaması yanı sıra kullanım kolaylığı ile de öne çıkıyor. Lisans maliyeti dolayısıyla ürünü her projede kullanamıyor olsak bile güvenlik ürünlerini tanımak anlamında bize önemli bir kazanım sağlamış oluyor.
