Docker Güvenlik Değerlendirmesi

Docker altyapınızı CIS Docker Benchmark ve NIST SP 800-190 doğrultusunda değerlendirerek image, registry ve runtime katmanındaki güvenlik risklerini ortaya çıkarıyoruz.

CIS Docker BenchmarkNIST SP 800-190MITRE ATT&CK for Containers

Container’lar yazılım dağıtımını devrimleştirdi, ama yeni bir saldırı yüzeyi de getirdi. Zafiyetli bir base image, ayrıcalıklı çalışan bir container ya da yanlış yapılandırılmış bir registry, tüm ortamınızı riske atabilir. Hız ve otomasyon, güvenlik gözden kaçtığında riskleri de hızla çoğaltır.

SAVKOR’un Docker güvenlik değerlendirmesi, CIS Docker Benchmark ve NIST SP 800-190 doğrultusunda yürütülür. Image güvenliğinden registry yapılandırmasına, runtime izolasyonundan ayrıcalık yönetimine kadar Docker ortamınızı katman katman inceler; container’dan host’a sıçrama gibi kritik riskleri ortaya çıkarır.

Test Kapsamı

  • Container image güvenliği ve zafiyetler
  • Registry yapılandırması ve erişim
  • Runtime güvenliği ve izolasyon
  • Daemon ve host yapılandırması
  • Ayrıcalıklı container ve yetki riskleri
  • Secret yönetimi

Metodoloji

  1. 01

    Envanter & Yapılandırma

    Docker host, daemon ve registry yapılandırması çıkarılır.

  2. 02

    Image Analizi

    Container image'ları zafiyet ve hassas veri açısından taranır.

  3. 03

    Runtime & İzolasyon

    Runtime güvenliği, ayrıcalıklar ve izolasyon CIS Benchmark'a göre değerlendirilir.

  4. 04

    Risk Önceliklendirme

    Bulgular sömürülebilirlik ve etkiye göre önceliklendirilir.

  5. 05

    Raporlama

    Bulgular ve sertleştirme önerileri raporlanır.

Teslimatlar

  • Yönetici özeti ve container risk görünümü
  • Image zafiyet ve yapılandırma bulguları
  • CIS Docker Benchmark uyum eşleştirmesi
  • Runtime ve izolasyon önerileri
  • İyileştirme sonrası yeniden değerlendirme

Sık Sorulan Sorular

Ayrıcalıklı (privileged) container neden riskli?

Ayrıcalıklı çalışan bir container, host sistem üzerinde geniş yetkilere sahip olur. Ele geçirilirse, saldırgan container izolasyonunu aşıp host'a (ve oradan tüm ortama) sıçrayabilir. Bu, en kritik container risklerinden biridir.

Image'larımız güvenli kaynaklardan, yine de taranmalı mı?

Evet. 'Resmi' image'lar bile bilinen zafiyetler içerebilir ve zamanla eskir. Ayrıca kendi eklediğiniz katmanlar yeni riskler getirebilir. Düzenli tarama şarttır.

Değerlendirme container'ları durdurur mu?

Hayır. Değerlendirme ağırlıklı olarak yapılandırma incelemesi ve image taramasına dayanır; çalışan servisler kesintiye uğratılmaz.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme