• Buradasın

    DevOps ve Bilgi Güvenliği Kesişimi Sunumu

    youtube.com/watch?v=Bq0pH3yH1IA

    Yapay zekadan makale özeti

    • Bu video, bir teknoloji uzmanı tarafından sunulan, 30 slide ve 30 dakika süren bir sunum formatındadır. Konuşmacı, 1994'ten beri Linux kullanan, Boğaziçi Üniversitesi mezunu ve Türkiye'de ilk PHP-MySQL kitabı yazan bir teknoloji uzmanıdır.
    • Sunum, DevOps ve bilgi güvenliği alanlarının kesiştiği noktaları ele almaktadır. İçerikte "zero trust" paradigması, savunma odaklı güvenlik yaklaşımları, konteyner-microservice mimarilerindeki uygulama odaklı güvenlik, sanallaştırma ve Docker gibi konteyner teknolojilerinin güvenlik üzerindeki etkileri detaylı olarak incelenmektedir. Ayrıca, cloud hizmetlerinin güvenlik avantajları ve dezavantajları, KVKK gibi yasal düzenlemeler ve kurumsal güvenlik ile bireysel güvenlik arasındaki ilişki de tartışılmaktadır.
    • Sunum, bilgi güvenliği ve DevOps alanındaki yeni trendleri, güvenlik mimarilerinin zaman içindeki gelişimini ve gelecekteki güvenlik stratejilerinde konteyner teknolojilerinin rolünü ele almaktadır. Video, sunum sonrası soru-cevap bölümüyle devam etmektedir.
    00:08Sunum Hakkında Bilgiler
    • Sunum yaklaşık otuz slide ve otuz dakika sürecektir, sonrasında soru-cevap bölümü olacak.
    • Sunum genellikle nasıl yapıldığı yerine ne için yapılması gerektiğini anlatacak.
    • Konuşmacı, bu sunumun benzerini daha önce Devopta İstanbul ve Ankara'daki Açık Kaynak Konferansı'nda da yapmış.
    01:28Konuşmacının Tanıtımı
    • Konuşmacı 1994 senesinden beri Linux kullanıyor ve Boğaziçi Üniversitesi'nde eğitim görmüş.
    • PHP ve MySQL kitabını yazmış, 2002-2012 yılları arasında yurtdışında bulunmuş.
    • Bilgi Güvenliği ve İnternet Operasyonları alanında bir firma sahibi ve Koyu İstanbul'a bağlı.
    02:15Sunumun İçeriği
    • Sunum iki ana eksen üzerine kurulmuş: siber güvenlikteki yeni trendler ve sistem yönetimi yaklaşımlarında son 3-4 yıldır popüler olan yaklaşım.
    • Sunumun yaklaşık yarısı siber güvenlikteki yeni kırılımlar ve gelişmeleri ele alacak.
    • Zero Trust, 2014-2015'ten beri gelişen bir paradigma olup, savunma odaklı güvenlik üzerine konuşulacak.
    03:26Bilgi Güvenliği Kavramları
    • Bilgi güvenliği iki ana kavram üzerine kurulmuş: cyber defence (savunma) ve cyber offence (saldırı).
    • Kırmızı takım (red team) penetrasyon testi ve zafiyet tespiti yapan, mavi takım (blue team) ise savunma yapan ekiplerdir.
    • Capture the Flag (CTF) yarışmaları, bilgi güvenliği alanında sık yapılan yarışmalardır ve hem savunma hem saldırı yapmayı içerir.
    04:35Bilgi Güvenliği Yaklaşımı
    • Bilgi güvenliği alanında savunma odaklı yaklaşımlar yaygın olsa da, savunma ve saldırı odaklı yaklaşımların bir arada olması gerekir.
    • Bruce Schneier, bilgi güvenliği gurusu olarak bilinen bir filozof ve teknik uzmandır.
    • Bruce Schneier'in 2013'te söylediği "Savunamayacaksınız, engelleyemeyeceksiniz, sadece tespit ve müdahale edebileceksiniz" sözü önemlidir.
    06:12Zero Trust Paradigması
    • 2013 Şubat'ında Obama'nın verdiği bir emirde (executive order) bilgi güvenliği çerçevesi (CSF) belirlenmiştir.
    • Zero Trust, güvene dayalı olmayan bir güvenlik yaklaşımlarıdır.
    • Zero Trust'ta, daha önce iç ağ güvenli olduğu varsayımı yerine her yerde güvenlik duvarı (firewall) konulması gerektiği vurgulanmaktadır.
    09:27Zero Trust ve Güvenlik Yaklaşımları
    • Zero Trust yaklaşımı, güvenlik sınırını dışarıdan içeriyere doğru hareket ettirirken, perimetre protection (etraf koruması) yaklaşımı güvenlik sınırını uygulamaya daha yakın bir noktaya taşır.
    • Zero Trust'ta güvenlik sınırı switch seviyesine kadar yaklaşıyor, ancak açık kaynak yaklaşımlarıyla güvenlik uygulamanın en derin noktasına kadar getirilebiliyor.
    • Bu yaklaşım, jail, konteyner veya Docker mimarilerine yaklaşıyor ve bu kavram "perimetre protection" veya "application segmentation" olarak adlandırılıyor.
    10:51Gelişim ve Güvenlik Sorumluluğu
    • Bilgi güvenliği yaklaşımı uygulamaya doğru yaklaşırken, geliştiricilerin sorumluluk alanına da yaklaşıyor.
    • Uygulama geliştiricileri için IDS (Intrusion Detection System), loglama, port durumları gibi daha önce skopundan uzak olan konular artık önemli hale geliyor.
    • Bilgi güvenliği, DevOps kullanıcıları ve operasyon yöneticilerinin sorumluluğu haline geliyor.
    11:34NSA ve Hedef Odaklı Saldırılar
    • NSA'nın (National Security Agency) yanında hedef odaklı saldırı ekibi olan TAO (Tailored Access Operations) bölümü bulunuyor.
    • TAO, önemli liderlerin (Merkel, Putin gibi) bilgi güvenliğini hedef alan saldırıları yapan bir ekip.
    • TAO'nun başında Rob Jose adında hem hacker hem de ekip yöneticisi olan bir kişi bulunuyor.
    12:56Sistem Yöneticileri ve Geliştiriciler
    • TAO'nun sloganı "Biz sistem yöneticilerini yakalamak avlanıyoruz" şeklinde ifade ediliyor.
    • Sistem yöneticileri yakalanırken, sistem yönetimi fonksiyonlarının bir kısmı artık uygulama geliştiricilerine geçiyor.
    • Uygulama geliştiricileri, container ortamında geliştiren herkesin ciddi bilgi güvenliği farkındalığı olması gerekiyor.
    14:17Network Bilgisi ve Güvenlik
    • DevOps trendleriyle birlikte, network bilgisine sahip olmanın önemini anlamak gerekiyor.
    • Network'ün nasıl kurgulandığı ve normal durumunun ne olduğu bilinmesi, güvenlik açısından kritik öneme sahip.
    • "Enstrüment and defend" kavramı, güvenlikte en önemli unsurlardan biri olarak vurgulanıyor.
    15:17Sistem Güvenliği ve Performans Takibi
    • Sistem güvenliği ve performans takibi artık bir araya gelmiş durumda, APM'lerle uygulama performansı, sistem metrikleri ve loglar kolayca toplanabiliyor.
    • NSA, network'ü dinleyen ve manuel olarak göz atan bir sistemin her zaman olması gerektiğini vurguluyor.
    • Sistem yöneticilerinin sorumlulukları, sistem, network ve storage yönetimi gibi alanlar artık developer tarafına doğru kayıyor.
    16:53Bilgi Güvenliği Yaklaşımı
    • Bilgi güvenliği konusunda "concealer you are overpenetrated" (sistemde zaten içeride birileri var) psikolojisiyle hareket etmek gerekiyor.
    • Sistemde her zaman birileri var olduğunu düşünerek kovalama yapmak bilgi güvenliğini yükseltir.
    • NSA'nın açıkladığı yöntemler, diğer saldırgan gruplarının kullandığı yöntemleri gösteriyor ve bu yaklaşımları açıklıyor.
    19:03Bilgi Güvenliğinin İçselleştirilmesi
    • Bilgi güvenliği konusundaki en büyük sorun, nasıl yapacağını bilmek değil, kendini içselleştirmek.
    • Bilgi güvenliği, kilo verme gibi bir süreçtir; diyet, egzersiz gibi düzenli uygulamalarla içselleştirilmelidir.
    • Güvenliğin ilk anahtarı, içeriye güvenmek yerine güvenmemektir.
    20:38DevOps ve Bilgi Güvenliği
    • DevOps, sistemleri yöneten sistemler kurmayı ifade eder ve bu yaklaşım bilgi güvenliğini kolaylaştırır.
    • DevOps, insan faktörünü minimize ederek bilgi güvenliğini güçlendirir çünkü en zayıf halka genellikle insan kullanıcılardır.
    • DevOps yaklaşımı, tek bir giriş noktasından sistemlere erişim sağlayarak diğer giriş kapılarını kapatma (lockdown) prensibini benimser.
    22:04Sistem Gelişim Tarihi
    • 90'lı yıllarda tek bir web sunucusu doğrudan internete açıktı, daha sonra çoklu katmanlı mimariler ve veritabanı katmanı eklendi.
    • Firewall ve IDS (Intrusion Detection System) eklendi, gelen-giden paketler incelenmeye başlandı.
    • Sanallaştırma ile birlikte virtual switch'te dönen dataları izlemek zorlaştı, bu da zero trust yaklaşımlarının ortaya çıkmasına neden oldu.
    25:51Güvenlik Mimarisindeki Değişimler
    • IDS sadece dışarıya giden trafikleri dinlerken, uygulamalar arasındaki iletişimi dinlemeyi başaramaz, bu da iki jenerasyon geriye gidilmesine neden olur.
    • Virtualization gelişimiyle uygulamalar kendi aralarında serbestçe konuşabilmeye başlayınca, güvenlik açısından görünürlük kaybı yaşanmış olur.
    • NSA'nın "focus on lateral movement" (yan hareketlere odaklanma) önerisi, aynı segmentte, VLAN'de veya uygulama katmanında yer alan makinelere odaklanmayı gerektirir.
    26:44Docker ve Konteyner Mimarisinin Güvenlik Avantajları
    • Docker ile sanallaşma platformlarında IDS, paket capture ve harpod gibi araçlar doğrudan içine yerleştirilebilir, böylece içerideki sanallaşmaları da görebilirler.
    • Konteyner mimarisinde, uygulamalar doğrudan kendilerini koruyabilir hale gelir, bu da çevreyi korumak gibi sorunlardan kurtulmayı sağlar.
    • Ticari sektörde genellikle kutu çözümleriyle güvenlik sağlanırken, açık kaynak ve konteyner mimarisinde mikro parametre ihtiyacı ve sağlanabilirliği daha avantajlıdır.
    29:15Yönetim Yaklaşımlarındaki Değişimler
    • Eski yaklaşımda IDS, network ve sanallaştırma uzmanlıkları ayrı ekiplerde yönetilirken, artık DevOps ve Docker ile bu sorumluluklar Ops yöneticilerine devredilmiştir.
    • SEKOS (Sistem Yöneten Sistemler) kavramı, sistemleri güvenli hale getiren ve tutan bir yaklaşım olarak tanımlanır.
    • SecOps (Security Operations) yaklaşık 3-4 senedir geliştirilen, sıkıcı işleri rutin hale getirmek için DevOps mekaniklerini kullanan bir yaklaşımdır.
    31:40AHTAPOT Projesi ve Zero Trust Yaklaşımı
    • TÜBİTAK için geliştirilen AHTAPOT projesi, uygulamaya yaklaşımlı güvenlik (zero trust) yaklaşımı benimseyen bir sistemdir.
    • Proje yaklaşık 11 modül içerir ve Pardus ve Fatih projesi bileşenleriyle birlikte indirilebilir bir ISO formatında sunulmaktadır.
    • Yeni versiyonu konteyner ortamında geliştiriliyor ve bu yaklaşım, güvenlik savaşında asimetrik avantaj sağlar.
    33:07Güvenlik Eğitimi ve Kariyer Önerileri
    • Uygulama geliştiricilerinin sadece geliştirme alanında kalmaması, aynı zamanda network güvenliği ve sanallaşma konularında da bilgi birikimi oluşturması önemlidir.
    • Türkiye'de genellikle uygulama geliştiricisi veya sistemci olmak iki ayrı kamp olarak görülürken, ikisini bir araya getiren bilgi birikimi daha avantajlıdır.
    • Güvenlik şapkasını işe dahil etmek ve konteyner teknolojisini öğrenmek kariyer açısından büyük avantaj sağlar.
    34:19Konteynerlerin Dezavantajları ve Avantajları
    • Konteyner mimarisinde her uygulamanın kendi güvenliği vardır ve uygulamalar arasında çakışma olabilir.
    • Bir Docker imajını güncellediğinizde, o imajı kullanan tüm konteynerler otomatik olarak güncellenir, bu da tek seferde birden fazla konteynerı güncellemenizi sağlar.
    • Konteyner mimarisinde, uygulama ve güvenlik bileşenleri bir paket halinde (bundle) gelir, bu da asimetrik durumu çözer.
    36:30Sürekli Entegrasyon ve Güvenlik
    • Sürekli entegrasyon süreçlerinde Nessus gibi araçlar ve NVTS (Network Vulnerability Test) kullanılarak uygulamaların güvenlik testi yapılabilir.
    • Bu araçlar, uygulamaların belirli versiyonlarının belirli zafiyetlere karşı açık olup olmadığını test eder.
    • Docker dünyasında, işletim sistemi ile birlikte paketlenen temel imajı önce test edip, üzerine konteyner katmanları eklemek daha etkilidir.
    37:37Güvenlik Testleri ve Yaklaşımlar
    • Otomotiv test araçları sadece pes bağlı değil, farklı test araçları da mevcuttur.
    • Manuel testler otomatik testlere göre daha kıymetlidir ve bilinen zaafiyetlere bakılırken, manuel penetrasyon testleri gerçek bir güvenlik değerlendirmesi için gereklidir.
    • Güvenlik jail mantığıyla, priva escalations gibi zaafiyetleri ele geçirmek ve konteyner ortamlarında namespace sınırlamalarını test etmek önemlidir.
    39:22Güvenlik ve Performans Arasındaki Dengeler
    • Güvenlikle performans veya kullanılabilirlik arasında çoğu zaman ters orantı vardır.
    • Kişisel Verileri Koruma Kanunu (KVKK) 7 Ekim'de yürürlüğe girmiş ve kişisel verilerin korunması için zorunlu bir standart getirmiştir.
    • Bilgi güvenliği, maliyetlerin %20'sine kadar artırmakta ve zorunlu bir yatırım haline gelmektedir.
    43:04Güvenlik Yaklaşımı ve Docker Ortamları
    • Uygulama ölçeğindeki güvenlik yaklaşımı, işletim sistemi güvenliğini daraltmadığı sürece toplam güvenlik seviyesini düşürmez.
    • Docker konteyner ortamları için özel işletim sistemleri (örneğin Rancher OS) kullanılarak gereksiz paketlerden kurtulunabilir.
    • Unikernel gibi teknolojiler, uygulama ve işletim sistemi birlikte derlenerek gereksiz paketleri tamamen ortadan kaldırabilir.
    45:32Docker Ortamlarında Güvenlik Sorunları
    • Eski güvenlik yaklaşımında operating system ve uygulama server seviyesinde best practice hardening yapılarak bilinen exploitler için gerekli düzeltmeler uygulanırdı.
    • Docker ortamına geçişle, kurumların Docker imajlarının üzerindeki uygulamaların güvenlik açıklarını kontrol etme konusunda açığa çıkıyor.
    • Docker Hub'daki birçok Docker imajının %60-70'inde bilinen açıklar bulunmaktadır ve bu imajlar production ortamına yüklenmektedir.
    47:08Docker ve Güvenlik Sorunları
    • Docker'ın popülerliği, geliştiricilerin işini kolaylaştırmasıyla sağlanmış olsa da, bilgi güvenliği farkındalığını yükseltmek önemli bir konu.
    • Docker için henüz yama yönetimi (patch management) konusunda mevcut bir ürün veya yapı yok, bu alan henüz tam adreslenmiş değil.
    • Kurumlar (örneğin bankalar) Docker'a geçiş yaparken en büyük engellerden biri yama yönetiminin oturtulmamış olmasıdır.
    48:50Docker Güvenliği İçin Öneriler
    • Docker'a geçiş için önerilen yaklaşım, custom imajların yapılması ve base imajların üzerine inşa edilmesidir.
    • GNT ve Linux gibi sistemlerde, paketleri kendiniz derleyip dağıtabilir hale getirerek hardend halde kullanabilirsiniz.
    • Bir kere doğru düzgün yapıldığında, yama yönetimi çok daha kolaylaşır ve uzmanlıklar değişir.
    49:33Kullanıcı Güvenliği
    • Kurumlarda kullanılan sistemlerin güvenliği, bu sistemleri kontrol eden sistemlerin sorumluluğunda olsa da, bilgiyi enjekte eden kullanıcılar da önemlidir.
    • Kullanıcıların kullandığı sistemler güvenli değilken, bu kadar güvenli bir sistem oluşturmak mantıklı değildir.
    • Bilgi güvenliği sorumluluğu, kullanıcıların kişisel sorumluluğunda olmalıdır.
    51:37Kişisel Güvenlik ve Toplu Taşıma Güvenliği
    • Kişisel güvenlik ve toplu taşıma güvenlikleri farklı mekaniklerdir, bilgi güvenliğinde herkesin kendi güvenliği ayrı tartışılır.
    • Sunucu tarafındaki bilgi güvenliği (toplu taşıma) ve kullanıcıların kişisel cihazlarındaki bilgi güvenliği farklı konulardır.
    • İnternet sörf etmek için VMware veya VirtualBox gibi araçlar kullanarak, işletim sisteminize zarar veren potansiyel riskleri azaltabilirsiniz.
    53:06Cloud Güvenliği
    • Eskiden her programı indirirken, şimdi özellikle işlemler için sağ uygulamalar (SaaS) kullanılıyor.
    • Cloud hizmetleri, güvenlik açısından zaafiyet alanını daraltan iyi bir yön sunar.
    • Kurumlara en temel tavsiye, her şeyi cloud'a taşımak veya merkezileştirmektir.
    57:03Bilgi Güvenliği Testleri ve Araçlar
    • Bilgi güvenliği testlerinde en çok karşılaşılan sesler CS, Jackson ve açıklarda liver'larla görüşmelerdir.
    • Etkinliklerde açıkları fix istemeleri için sorular sorulur ve ilk çıkan açıklar numery, algonomi ve sembolik karakterlerle fix edilir veya edilmez.
    • Efect Flow adında bir araç, açıkları tekrar test ederek ve açık yaratabilir hale getirerek fikir vermektedir.
    58:26Red ve Blue Team Mekanikleri
    • Red team açık bulurken, blue team defansı kurgular ve sistemde farkındalık oluşturur.
    • Penetrasyon testi bir kan testi gibidir; yüksek kolesterol değerini düşürmek için özel bir doktora ihtiyaç vardır.
    • Bilgi güvenliği işi bir kerelik değil, her ay ve her hafta yapılması gereken bir süreçtir.
    1:01:16Konteyner Mimarisi ve Güvenlik
    • Bilgi güvenliğinde blue team'lerin kazanması zordur, asimetrik bir savaş yürütülmektedir.
    • Konteyner mimarisi sihirli değnek olmasa da, doğru mimari ve tercihler yapılmasına giden yoldadır.
    • Konteyner, izole edilmiş bir ortam demektir ve bir bölüme zarar geldiğinde diğer bölümler ayakta kalır.
    1:03:17Micro Service ve Güvenlik
    • Micro service mimarisi, sistemleri elastik ve dayanıklı hale getirir.
    • Yük geldiği zaman ölçeklenebilirlik sağlar ve bilgi güvenliği açısından daha dayanıklı hale getirir.
    • Yüzde yüz çözüm yoktur, doğru yaklaşımla başlanmaktadır.
    1:04:30Windows Konteyner ve Otomasyon
    • Microsoft'un Windows konteyner yaklaşımları açık kaynak ve Linux tarafında daha yaygınlaşmıştır.
    • Otomasyon konusunda emeklemeyi bitirip yürümeye başlanmış durumdadır.
    • IDS, TV gibi paketler ve yama yönetimi otomasyonu henüz olgunlaşmış durumda değildir.
    1:06:21Bilgi Güvenliği için Öneriler
    • Bilgi güvenliği alanında yeni başlayanlar için önemli olan yavaş yavaş içselleştirme yapmaktır.
    • Bilgi güvenliğinin popüler kültürün iteklediği bir yanı vardır, o da hack tarafıdır.
    1:07:03Cyber Güvenlik Alanında İhtiyaç
    • Red team olarak bilinen penetrasyon testinde zaafiyet bulan taraf daha popüler kültürde ön plana çıkarılır.
    • Türkiye ölçeğinde penetrasyon testi yapan kişiler için 100 kişi gerekiyorsa, blue team (defansif) taraf için 10.000 kişi gerekiyor.
    • Konuşmacı, bu kadar fazla insan ihtiyacı varken üniversite yıllarından itibaren defansif tarafa yoğunlaşılmasını öneriyor.
    1:08:11Defansif Güvenlik Eğitimi
    • "Kale" (defansif güvenlik) konusuna dair YouTube'da 20 saatlik video bile yoktur.
    • 20 saatlik video izleyerek bile bir bankanın sistemlerine kolayca dağılabileceğiniz belirtiliyor.
    • Konuşmacı, "Security One" adlı defansif güvenlik konusunu öğrenmek için daha fazla video izlenmesi gerektiğini ve farklı mekaniklerin öğrenilmesi gerektiğini vurguluyor.
    1:09:12Amerika'daki Cyber Güvenlik Programı
    • Konuşmacı, Amerika'yı yakın takip ettiği ve orada "Cyber Security Work Force Development" adında bir program olduğunu belirtiyor.
    • Bu programda bilgi güvenliği işgücü yetiştirme için müfredat bulunuyor.
    • Bu müfredat, "Security One" ve benzeri konular için faydalı olabileceğini ifade ediyor.
    1:09:46Kurumsal ve Bireysel Güvenlik Arasındaki Ters Orantı
    • Kurumsal güvenlik arttıkça bireysel güvenlik azaldığı bir ters orantı gözlemleniyor.
    • Application logik kurumsal tarafta oturtulduğunda, bireyin güvenliği ikinci planda kalıyor.
    • Merkezi cloud sistemlerde, bireyin güvenliği kurumun güvenliğine feda edilmiş durumda.
    1:11:31Bilgi Güvenliğinin Merkezileşmesi
    • Bilgi güvenliğinin yoğunlaştığı alan sunucu tarafında olması, maliyet açısından avantaj sağlıyor.
    • Toplu taşıma örneği gibi, merkezi sistemler maliyeti düşürüyor ve daha etkili bir çözüm sunuyor.
    • Bilgi güvenliği alanında da merkezileşme eğilimi var, ancak bu durumda bireyin verileri kuruma vermek gerekiyor.
    1:12:35Kişisel Verilerin Korunması
    • Bilginin çift sahiplik durumu var, örneğin kredi kartı bilgisi hem şahsa hem bankaya ait.
    • Sağlık bilgileri, cinsiyet bilgileri gibi kişisel veriler KHK ile korunuyor.
    • 7 Ekim 2017'den itibaren kişisel verilerin korunması hem bireyin hem de veri aldığı kurumun sorumluluğunda.
    1:14:13KHK Kanunu ve Uyum Süreci
    • KHK kanunu yeni çıktı ve bir sene içinde aktive olacak.
    • Her kurum bir sene içinde uyumlu olacak şekilde hareket etmek zorunda.
    • Uyum süreci ekonomik yükü 120'lik maliyet artışı gibi olabilir.
    1:15:37Cezai Sorumluluklar ve IoT Güvenliği
    • Kurumlar kişisel verileri korumaya yönelik "best effort" yapmak zorundadır.
    • IoT güvenliği, internete bağlanabilen nesnelerin güvenliği olarak yeni gelişen bir alan.
    • Bilgi güvenliğinin temel doktrini "giden-gelen data'ya bakmak" prensibidir.
    1:18:31Merkezileşmenin Avantajları ve Dezavantajları
    • Merkezileşme avantajları ve dezavantajları vardır, örneğin uçak düşerse 500 kişi ölebilir.
    • Merkezi sistemler maliyet, uygulama dağıtımı ve donanım uyumluluğu açısından avantaj sağlar.
    • Merkezileşme tehlikeleri içerse de, diğer seçeneklere göre daha az tehlikeli olduğu düşünülüyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor