Konteyner Güvenliğinizi Bir Üst Seviyeye Taşıyın: JFrog Kubelet Kimlik Bilgisi Sağlayıcısını Tanıtıyoruz
Amazon Elastic Kubernetes Hizmeti (Amazon EKS), konteynerli uygulamaları çalıştırmayı, yönetmeyi ve ölçeklendirmeyi kolaylaştıran, tamamen yönetilen ve uyumlu bir Kubernetes hizmetidir. EKS, Kubernetes kontrol düzleminin kullanılabilirliğini ve ölçeklenebilirliğini otomatik olarak yöneterek, her boyuttaki ve beceri düzeyindeki ekibin AWS, şirket içi ve uç nokta dahil olmak üzere çeşitli ortamlarda üretime hazır uygulamalar oluşturmaya ve dağıtmaya odaklanmasını sağlar. Kuruluşlar Amazon EKS kullanımını ölçeklendirirken, özellikle dağıtılan uygulamaları için yazılım bileşenlerini (yapıları) indirirken güvenlik ve operasyonları nasıl yöneteceklerini de göz önünde bulundurmaları gerekir.
JFrog, konteyner görüntülerinizi JFrog Artifactory’den Amazon EKS’ye aktarmayı daha güvenli ve kolay hale getiren ve AWS’nin en yeni özelliklerinden yararlanan yeni bir özellik olan JFrog Kubelet Kimlik Bilgisi Sağlayıcısı’nı yayınlamaktan heyecan duyuyor. Bu yeni eklenti, uzun ömürlü, statik parolalar yerine geçici, kimliğe dayalı kimlik bilgileri kullanıyor. Bu, artık görüntülerinizi Amazon EKS çalışan düğümlerinize daha güvenli ve daha az zahmetle çekebileceğiniz anlamına geliyor.
Bu iyileştirme, önemli sürtünme noktalarını ortadan kaldırarak kuruluşların Amazon EKS ortamlarında Artifactory kullanımını tam olarak optimize edebilmelerini ve böylece gelişmiş güvenlik, daha yüksek istikrar ve dağıtım hatları için genel olarak optimize edilmiş bir kullanıcı deneyimi elde etmelerini sağlar.
Geleneksel Kimlik Bilgisi Yönetiminde Güvenlik ve Operasyonel Sorunlar
Günümüz Sorunu: Amazon Elastic Container Registry (Amazon ECR) dışındaki özel kayıt defterlerinde barındırılan uygulamalar için mevcut dağıtım modeli, dağıtım yapılandırmalarına bir imagePullSecret eklenmesine dayanmaktadır. Bu sırlar genellikle özel kayıt defterine karşı kimlik doğrulaması için gereken parolalar, API anahtarları veya erişim belirteçleri gibi uzun ömürlü kimlik doğrulama öğelerini içerir. İşlevsel olsa da, bu geleneksel yöntem modern kurumsal kuruluşların giderek daha az kabul etmeye istekli olduğu güvenlik açıkları ve önemli operasyonel yük getirir.
- Güvenlik Riski: Bu parolalar, Kubernetes etcd veritabanınızda statik sırlar olarak yer alır ve gereksiz bir saldırı yüzeyi oluşturur. Bu büyük güvenlik açığı nedeniyle, giderek daha fazla kuruluş, kayıt defteri kimlik doğrulaması için statik, uzun ömürlü sırların kullanımını tamamen yasaklamaya başlıyor.
- Operasyonel Sorunlar: Bu sırları yönetmek çok büyük bir baş ağrısıdır. Genellikle büyük bir kümedeki her ad alanı için bir tane gerekir. Bir erişim belirteci iptal edilirse veya süresi dolarsa, ilgili tüm ad alanlarındaki sırları manuel olarak güncellemeniz gerekir; bu da karmaşık CI/CD mantığı ve sır rotasyonu için önemli kaynaklar gerektirir.
Geleneksel Kimlik Bilgisi Yönetiminde Güvenlik ve Operasyonel Sorunlar
Müşterilerimizin geri bildirimlerine dayanarak, JFrog olarak Amazon EKS için JFrog Kubelet Kimlik Bilgisi Sağlayıcısı’nı piyasaya sürmekten heyecan duyuyoruz. Bu önemli yükseltme, statik gizli bilgileri ortadan kaldırarak bunların yerine güvenli, geçici (kısa ömürlü), kimliğe dayalı kimlik bilgileri getiriyor. Bu entegrasyon iyileştirmesi, operasyonel sorunları ortadan kaldırarak daha iyi güvenlik ve daha yüksek kararlılık sunuyor ve ortak müşterilerimizin yeni Amazon EKS iş yüklerini çok daha hızlı dağıtmasına olanak tanıyor.
Here’s what some early customers are saying:
“Demo, kimlik doğrulamayı kolaylaştırmanın bir yolunu aradığımızı kesinlikle gösterdi.” – Otomotiv üreticisi
“Önerilen çözüm, sırrın açığa çıktığı bireysel bir ad alanına kıyasla, tamamen küme düzeyinde yönetilmesiyle tercih ettiğimiz yaklaşıma kesinlikle daha yakın.” – Küresel konaklama markası
“Artık kimse sırları yönetmek istemiyor.” – Kurumsal BT şirketi
Nasıl Çalışır: Parolalardan Önce Kimlik
Çözümümüz özel bir geçici çözüm değil; yerleşik Kubernetes özelliği olan Kubelet Görüntü Kimlik Bilgisi Sağlayıcısı’na dayanıyor. Bu, Amazon ECR, Google Cloud ve Microsoft Azure tarafından yerel kayıt defteri kimlik doğrulaması için kullanılan standartla aynı. Ayrıca, JFrog <> AWS belirteç değişim mekanizması, Amazon EKS API sunucusuna harici erişim sağlamak gibi bazı diğer çözümlerin gerektirdiği diğer güvenlik ihlallerini gerektirmez.
En büyük kazanç? Artık Kubernetes gizli veri oluşturma veya yönetmeye gerek yok. Bu yeni akış, Amazon EKS’den Artifactory’ye gerçek anlamda şifresiz erişim sağlıyor.
Şifresiz Kimlik Bilgisi Akışı:
Görüntü Çekme: Yeni bir pod için Artifactory’den bir görüntü gerekir.
Kubelet Yakalama: Amazon EKS çalışan düğümünüzdeki Kubelet, görüntü ana bilgisayarını JFrog sağlayıcısı için yapılandırılan desenle eşleştirir.
Eklenti Çalıştırma: Kubelet, yapılandırılan eklenti ikili dosyasını yürütür: jfrog-credential-provider.
Token Değişim Sihri: Sağlayıcı, Amazon EKS düğümünün doğrulanmış AWS kimliğini (bir IAM Rolü veya OIDC) kullanır ve bu kimlik kanıtını Artifactory ile değiştirir.
Kısa Ömürlü Token: Artifactory, kayıt defteri kimlik doğrulaması için tasarlanmış, yeni oluşturulmuş, kısa ömürlü bir token döndürür.
Görüntü Çekme: Kubelet, görüntüyü güvenli bir şekilde çekmek ve dağıtımı tamamlamak için geçici tokeni kullanır.
Kimlik Bilgisi Yönetiminin Hızlı Karşılaştırması:
Kurulum: Dağıtım ve Kimlik
Dağıtım Kolaylaştırıldı (Amazon EC2 Başlatma Şablonlarını Kullanarak): Kurulum, temeldeki ana bilgisayar dosya sistemine ve Kubelet yapılandırmasına özel erişim gerektirdiğinden, dağıtım için en sağlam yöntem, önyükleme işlemi sırasında Amazon EC2 Başlatma Şablonları aracılığıyla gerçekleştirilir. Bu, her yeni çalışan düğümünün jfrog-credential-provider ikili dosyasının otomatik olarak yüklenmesini sağlar.
Kubelet’i eklentiyi kullanacak şekilde yapılandırmak için şunlardan birini yapabilirsiniz:
- Eklenti yardımcı programını kullanın: ./jfrog-credential-provider add-provider-config ve başlatma şablonu komutları sırasında çağırın.
- Yapılandırma JSON’unu başlatma şablonu komutları aracılığıyla manuel olarak enjekte edin.
Eklenti ayrıca JFrog’un en son küçük sürümünü kontrol edebilir ve ikili dosyayı otomatik olarak güncelleyebilir (ancak bu devre dışı bırakılabilir).
Launch Template flow
Kimlik Doğrulamanın İki Yolu (Kimlik Değişimi): Sağlayıcı, güvenilir AWS kimliğinizi geçici bir Artifactory belirteci karşılığında değiştirmek için iki yolu destekler:
Stratejik Faydalar ve Operasyonel Kazanımlar
JFrog Kubelet Kimlik Bilgisi Sağlayıcısına geçiş, güvenlik, operasyonel verimlilik ve kullanıcı deneyimi açısından dönüştürücü avantajlar sağlar.
Gelişmiş Güvenlik Durumu (Sırlardan Önce Kimlik)
Amazon EKS dağıtımlarının güvenlik duruşu, uzun ömürlü parolalar ve statik API anahtarlarından uzaklaşılarak önemli ölçüde iyileştirilmiştir. Bu kalıcı kimlik bilgilerinin kısa ömürlü ve dinamik olarak oluşturulan belirteçlerle değiştirilmesi, bir küme ihlali durumunda saldırı yüzeyini ve olası patlama yarıçapını en aza indirir. Çözüm, görüntü çekme erişimini doğrudan çalışan düğümün (IAM rolü veya OIDC bağlamı) doğrulanmış altyapı kimliğine bağlayarak en az ayrıcalık ilkesini uygular. Kriptografik kimlik kanıtının eser çekme sürecine yerleştirilmesiyle, harici veya dahili kimlik bilgisi hırsızlığı riski etkili bir şekilde ortadan kaldırılır.
Operasyonel Verimlilik ve Dağıtım Hızı
Bu eklentinin sunduğu temel müşteri talepli işlevsellik, yönetim sürtünmesinin ortadan kaldırılmasıdır. Operatörler, Kubernetes gizli anahtarlarını, rotasyon çizelgelerini ve doğru ad alanına özgü yapılandırmaları yönetmekle ilişkili sürekli, sıkıcı ve genellikle hataya açık görevlerden kurtulur. Gizli anahtar yönetiminin bu şekilde ortadan kaldırılması, operasyonel sürtünmeyi azaltarak daha fazla istikrar sağlar ve iş yükü dağıtımlarının önemli ölçüde daha hızlı olmasını sağlar. Bu verimlilik, özellikle daha önce kaçınılmaz olan karmaşıklık ve güvenlik sorunlarını devralmadan Amazon EKS üzerinde yeni iş yüklerini hızla dağıtması gereken büyük ortak müşteriler için kritik öneme sahiptir.
Optimize Edilmiş Kullanıcı Deneyimi (UX)
JFrog Artifactory’nin Amazon EKS ile kullanımını kolaylaştıran entegrasyon, genel olarak optimize edilmiş bir kullanıcı deneyimi (UX) sunar ve dağıtım süreci boyunca daha fazla istikrar sağlar. Geliştiriciler ve DevOps ekipleri, altyapı kimlik doğrulama mekanizmalarının yapıt kimlik doğrulamasını güvenli ve otomatik olarak işleyeceği güvencesiyle, altyapı kimlik bilgilerini düzenlemek yerine uygulama dağıtımına odaklanabilir.
İleriye Bakış (Yol Haritası ve Küçük Yazılar)
- Gelecekteki Ayrıntılılık: KEP-4412’yi (Öngörülen hizmet hesabı belirteçleri) desteklemeyi planlıyoruz. Bu, görüntü çekme erişimini tüm düğüm grubu yerine belirli bir pod’a (IRSA) kadar kısıtlayabileceğimiz ve böylece en düşük ayrıcalık uygulamasını önemli ölçüde iyileştirebileceğimiz anlamına geliyor.
- Mevcut Sınır: Şu anda, son derece güvenli AWS Bottlerocket EC2 görüntüsü DESTEKLENMİYOR. Bunun nedeni, Bottlerocket mimarisinin gerekli eklenti dağıtım mekanizmasını engellemesidir.
Şifresiz Kullanıma Hazır Mısınız?
Dağıtım süreçlerini kırılgan ve uzun ömürlü sırlardan sağlam, dinamik ve kimlik tabanlı kimlik doğrulamaya taşıyarak yeni güvenlik ve hız seviyelerine ulaşırsınız.
Başlamaya hazır mısınız? GitHub’daki açık kaynaklı geliştirmelere göz atın: github.com/jfrog/jfrog-credentials-provider.