Part 1 — Introduction Red Hat StackRox Container Security !

Kerem Çeliker
7 min readApr 10, 2021

--

Hazırlayan: Kerem Çeliker / DevOps & Cloud Solutions Architect

Linkedin: https://www.linkedin.com/in/keremceliker/

Red Hat, 2014'te kurulan California merkezli Kubernetes Güvenlik Şirketi StackRox’u Ocak 2021’de satın aldığını duyurdu. Bu, doğrudan kurumsal altyapıda DevSecOps Güvenlik pazar payını artırmaya odaklanan Red Hat için en stratejik satın almalardan biridir.

StackRox, altyapısında ve komplex platform taleplerinde eksik olan kritik güvenlik yeteneklerini getirerek Red Hat’ın mevcut portföyünü tamamlıyor.

DevOps ve güvenlik operasyonlarının en iyisi olan DevSecOps, kurumsal müşteriler için en önemli öncelik haline geliyor. StackRox, mevcut DevOps ve CI/CD araçlarıyla entegrasyonuyla Openshift altyapısındaki Advanced Kubernetes için sorunsuz DevSecOps sunar.

İçindekiler;

  1. StackRox’un Farkı Nedir?
  2. StackRox Hybrid ve Multi-Cloud ortamlar için Tam Entegrasyon Sunuyor
  3. StackRox Platform Mimarisi ve Nasıl Çalışır?
  4. StackRox Central
  5. StackRox Sensor
  6. StackRox Collector
  7. StackRox Mimarisi Çalışırken Aktif Bir Eylem Örneği Nasıl Çalışır?
  8. StackRox Detect&Prevent and Respond’un 3 Karakteristik Özelliği
  9. StackRox Kubernetes-Native Security Platform Özellikleri
  10. Referanslar

1. StackRox’un Farkı Nedir?

StackRox, başlangıcından bu yana yazılım ve bağlı olduğu iş sürekliliğinin güvenliğini sağlamaya odaklanmıştır. Container’ların ve Kubernetes’in hızla ivmelenmesi, artık şüphesiz bir endüstri standartı haline gelmesiyle şirket, Kubernetes Güvenlik Platformu’nu hızlıca ikiye katladı.

Burada özellikle Red Hat Openshift ile Kubernetes arasındaki asıl fark, sıkı entegrasyonda yatmaktadır. Rakipler bilindiği gibi sadece geleneksel güvenlik yaklaşımlarına odaklanırken StackRox ise Openshift ve Advanced Kubernetes’in temel öğelerinden ve yerel iş akışlarından yararlanarak Kubernetes platformunun tüm yelpazesinine kadar kapsayan CI/CD, DevOps, DevSecOps yazılım süreçleri için uçtan-uca bir çözüm sağlıyor. Global Real-Time Güvenlik Açıkları ve Etkilenmeler (CVE), önem dereceleri, puanlamalar ve öneriler ile tüm Kubernetes bileşenlerinden yararlanarak sahip olduğu bağlamsal içgörü yapay-zekası ile bilgileri tam zamanında kullanıcısına sağlıyor.

StackRox, güvenlik açıklarını keşfetmek için global veri tabanları ve altyapıdaki tüm Red Hat Openshift ve Kubernetes bileşenleri için aldığı kayıtlar ile sıkı bir şekilde entegre olur. Yanlış yapılandırılmış bileşenleri, riskli olan entegrasyonları ve iç/dış dağıtımları talep edilen şekilde engellemek, sahip olduğu Smart-Sensor’ler ile Kubernetes’e tam uyumlu şekilde birebir entegre olur. Gerçek zamanlı güvenlik analizi ve trafik görselleştirmesi ve güvenlik önerileri sağlamak için Kubernetes altyapısında Istio ve Red Hat Openshift altyapısında Service Mesh ile entegre bir şekilde çalışır.

Red Hat OpenShift ve Kubernetes API Web Konsolu entegrasyonuyla, müşterilerine CIS, NIST, PCI ve HIPAA karşılaştırmalarını yapar ve dağıtık iş yüklerinde çalışmayı güvenli bir şekilde otomatikleştirir.

StackRox; CRI-O (Container Runtime Interface), OpenShift SDN (CNI Network) ve Istio tabanlı OpenShift Service Mesh ile yerel entegrasyon aracılığıyla OpenShift’e uçtan uca güvenlik ve görünürlük getirir.

2. StackRox Hybrid ve Multi-Cloud ortamlar için Tam Entegrasyon Sunuyor

Red Hat, Amazon EKS, Microsoft AKS, Google GKE ve IBM Kubernetes Service IKS gibi OpenShift dışı ortamlarda çalışan uygulamaların küme yaşam döngüsünü ve iş yükü yönetimini ele alması gerektiğini uzun yıllardır biliyordu.

IBM satın almasının ardından artık Red Hat, IBM Multi-Cloud Manager’ı da açık kaynaklı bir projeye dönüştürdü. Bunu hem Kubernetes ve hem de Red Hat Openshift için Red Hat Advanced Cluster Management (ACM) olarak yeniden modernize ederek markalaştırdı. Böylece, Google Anthos, Azure Arc / Stack, Amazon Outpost gibi diğer tüm Cloud Provider’lar ile kullanıcısına eksiksiz çözüm sunabiliyor hale geldi.

3. StackRox Platform Mimarisi ve Nasıl Çalışır?

StackRox Kubernetes-Native Security Platformu 3 temel bileşen altında çalışmaktadır.

StackRox Central StackRox Sensor StackRox Collector

StackRox Central

StackRox Central gerçekten bir merkez-beyin görevindedir. Aynı zamanda bir kullanıcı arabirimidir. Api-Server ve taramanın gerçekleştiği, veri analitiğinin ve analizinin gerçekleştiği yer tam olarak burasıdır. Ek olarak tüm 3. party araçların ve diğer teknolojilerin, çözümlerin StackRox ile entegre olduğu yerdir. Ayrıca Alert tanımlamaları ile temelde Web-Hook entegrasyonlarını da yaptığımız noktadır.

StackRox Sensor

Stackrox sensörü ve Collector deploy görevi, Deamon Sets olarak Kubernetes altyapısında konuşlandırılmıştır. Yalnızca okuma erişimiyle çalışırlar ve asla Red Hat Openshift veya Kubernetes cluster’ınıza yazma izinleri yoktur. Sonuç olarak yüksek düzeyde izne ihtiyaç duymazlar ve doğal olarak altyapınızdaki aktif sensörlerinizde bulunan “Anomali veya Saldırı” anında engelleme denetleyicileri gibi davranma rolüne sahip olabilirler.

Red Hat Openshift ve Kubernetes Cluster’da uygulanan politikalar, ya müşterinin kendisi tarafından ya da müşteri tarafından yazılan diğer politikalar gibi birçok komutları Machine-Learning altyapısı ile uygulayabilir. Sürekli güncellenen ve öğrenerek artan 60'dan fazla politikalar ile devamlı sensör yeteneğini artırabilirsiniz.

StackRox Collector

Collector, Node başına 1 adettir. Böylece Collector aslında kullanıcılarının tercih edeceği şekilde iki farklı mod’da çalışabilir.

  1. Sistem bilgilerini toplayabilmek için genişletilmiş Berkeley Paket filtresi modunda çalışabilir. Bu ağ bilgilerini sürekli işlemektedir. Bu, algılama yanıtı adli tıpa (Forensics Architecture) katkıda bulunan bir parçadır.
  2. Ancak Linux çekirdeğinin EVPF’ye (High-Level Cryptographic Functions) sahip olmayan ama daha eski sürümlerine sahip olan müşteriler de daima vardır. StackRox Collector gerektiğinde bunun bir çekirdek modülü olarak da çalışabilmesine izin verir ve toplayıcılar her düğümden bilgi toplamaya devam eder. Ardından da sensör içerisindeki kolerasyon havuzuna geri gö Böylece tüm Red Hat Openshift ve Kubernetes Cluster bu işlemler sırasında devamlı ilişkilendilir ve önce StackRox Central’a ve ardından merkezi toplayıcılara (StackRox Central Collector) geri gönderir ve tüm kümelerdeki bilgileri eksiksiz ilişkilendirir ve ardından kurallar ile, izin gereksinimleri ile kontroller gibi şeyleri aktif eder ve tüm bu bilgileri gerçekleştirilecek aksiyon için Kubernetes’e geri gönderilir.

4. StackRox Mimarisi Çalışırken Aktif Bir Eylem Örneği Nasıl Çalışır?

Olası kötü niyetli bir faaliyet varsa belirli bir POD’da veya Deployment içerisinde olan kod bileşeninde anormal etkinlik veya saldırı gibi, öncelikle mevcut yapının etkilenmemesi için sistem çağrı tablosunu (System Call Table) engellemeden, buna bağlı diğer sistem çağrılarını veya işlemlerini öldürmemeye çalışır.

StackRox’un benzer bir eylem sırasında, Openshift ve Kubernetes’e olaya ait belirli bir bölmeyi parçalamasını ve yeni bir bölmeyi yaratmasını söyler. StackRox Collector bu sırada çalıştığı için mevcut Cluster’ın var olan tüm süreçlerden, sistem aramalarından ve ağ bilgilerinden ihtiyacınız olan tüm adli tıp (Forensics Architecture) ve soruşturma verilerinden merkezi olarak faydalanması için, tüm analiz verilerini şifrelenmiş-saklanmış olarak toplar ve bunu Security Incident Center’ınıza yansıtabilir veya diğer uygulamalarınıza aktarabilirsiniz. Böylece sonradan talep olması durumunda eyleme geri dönüp adli-tıp (Forensics Architecture) dahi yapabilir ve tanımlı olan kurallar ile tehdite karşı aksiyon alarak sizi bilgilendirir.

5. StackRox Detect&Prevent and Respond’un 3 Karakteristik Özelliği

  • Saldırı Görünürlüğü (Attack Visibility): Dağıtılan sensörler aracılığıyla ürün milyonlarca sinyali sürekli olarak izleyebilir, çalışma zamanında her konteynerdeki anormal etkinlikleri algılayabilir ve sezgisel tehdidi derhal kesebilir.
  • Öldürme Zinciri Analizi (Kill-Chain Analysis) : Sürekli öğrenen yapay zekası sayesinde ürün, bir saldırganın nasıl erişim elde ederek çalışma ortamına sızdığını ve kronolojik olarak saldırıları nasıl başlattığını öğrenebilir ve temel nedenin derinlemesine analizini yapabilir.
  • Tehdit Önleme (Threat Prevention): Ürün, tehditleri otomatik olarak engelleyerek, yalıtarak ve daraltarak tehditlerin etkisini etkili bir şekilde azaltabilir.

6. StackRox Kubernetes-Native Security Platform Özellikleri

  • Varlık Görünürlüğü: Bir kümedeki tüm kapsayıcıları keşfeder ve tehdidi algılama adına varlıkların bütünsel bir görünümünü sağlamak için uygulamalardaki hizmetleri gruplar.
  • Tehdit Görünürlüğü: Dosya sistemlerinin, ağ iletişiminin, süreçlerin ve konteynerle ilgili olayların sürekli izlenmesinden kaynaklanan düşük gürültülü veriler sağlayarak büyük bir tehdit izleme noktaları ağı oluşturur.
  • İş Görünürlüğü: Tüm kapsayıcılar arasındaki iletişimi izleyerek anomali izleme ve tanımlama için geçerli veri kaynakları sağlar.
  • Genişletilmiş İzleme Kapsamı: Şu anda izleme beş boyuttan gerçekleştirilebilir: Ayak dayanağı, ayrıcalık yükseltme, kalıcılık, yanal hareket ve hedefler.
  • Otomatikleştirilmiş Makine Öğrenimi: ;Kapsayıcı etkinliği değişikliklerine göre tam otomatik öğrenme uygular.
  • Otomatik Düzenleme ve Yanıt: yetkisiz talimatları engelleyerek sistem çağrılarını sonlandırarak veya ilgili kapsayıcıyı yalıtarak keşfedilen tehditlere otomatik olarak yanıt verir.
  • İlke Özelleştirmesi: StackRox önceden yapılandırılmış ortak şablonlar sağlarken kullanıcılar koruma ilkelerini kendi iş akışlarına göre de özelleştirebilir.
  • Uyarı Bağlamı: Güvenlik olaylarının tehditlere yanıt verme konusunda karar verme kararını bilgilendirmesi için ayrıntılı bağlam sağlar.
  • Anlaşılır Arayüz: Hızlı kurulum, konfigürasyon ve kullanıcı dostu yönetim kolaylığı.
  • Bağımsız Entegrasyon: Çeşitli platformlara (DevOps, CI/CD Orchestration, Automation ve PaaS/SaaS/IaaS) vb. araçlara adaptasyon ve tam destek.
  • Sezgisel Raporlama: Görüntülü güvenlik açıkları, detaylı ve önerimli yapılandırmaları ile Central Cluster ve ağ gibi tüm detaylarıyla ortam verilerine dayalı risk değerlendirme ve tahmin içeren Forecasting yapar.

StackRox, web arabirimleri, komut satırları ve API’lar aracılığıyla tüm işlemlere izin verir. StackRox Detect and Respond, aşağıdaki tabloda listelendiği gibi çeşitli platformlara ve araçlar bağımsız destek vermektedir.

Container Platform

Red Hat OpenShift, Kubernetes, Docker Enterprise Edition, IBM Bluemix Container Service, IBM Kubernetes Services (IKS), Amazon Elastic Container Service for Kubernetes (EKS), Azure Container Service (AKS), Google Kubernetes Engine (GKE), Mesosphere DC/OS

Operating System

Red Hat Enterprise Linux (RHEL), Ubuntu, CentOS (soon Rocky Linux) and Debian

IaaS

OpenStack, Oracle Cloud, virtual machines (KVM, Hyper-V, VMware, Citrix Xen), Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Bluemix or Z System, Microsoft Azure and Bare-Metal

Image Scanners

Red Hat StackRox, Red Hat Quay, Clair, Docker Trusted Registry, Anchore, Tenable, Container Analysis

Image Repository

Red Hat Container Image Registry (Quay), Docker Hub, Tenable, Nexus, jFrog, Github/GitLab Registry, Amazon EC2 Container Registry (ECR), Artifactory, Azure Container Registry (ACR), Docker Trusted Registry (DTR), Google Container Registry (GCR)

CI/CD Tools

Openshift Tekton/Pipelines, Jenkins, GitLab, Bamboo, CircleCI, TeamCity

Identity Management

Sumo-Logic, Cloud Security Command Center, Jira Software, SAML 2.0-compliant identity providers including Google, Okta, Ping Identity and More…

Event Alert

Splunk, PagerDuty, Slack, Teams, Discord and More

Red Hat StackRox ile Software Developers, DevOps/DevSecOps ve Security iş birimleri takımları arasında, operasyon ve geliştirme sırasındaki tüm duvarın kaldırılmasını sağlarsınız.

7. Referanslar:

--

--

Kerem Çeliker

Red Hat Accelerator Awarded 2021/2024 | IBM Champion 2021/2023 | HashiCorp Ambassador | VMware vExpertPRO | Amazon AWS Cloud SAA | VxRail & Nutanix SE Champ.