Kubernetes Güvenlik Testi Rehberi
Modern mikroservis altyapılarının omurgası olan Kubernetes, esnekliğiyle beraber karmaşık bir saldırı yüzeyi sunar. Kubernetes Güvenlik Testi, sadece sanal makineleri taramak değil; kube-apiserver erişim kontrollerinden etcd şifrelemesine, NetworkPolicy izolasyonundan RBAC yetki derinliklerine kadar tüm katmanları kapsayan bir denetim sürecidir. Kubernetes dünyasında bir saldırganın temel hedefi, zayıf bir pod üzerinden konteynerden kaçış (Container Escape) yaparak ana makineye (Node) ulaşmak veya yetki yükselterek tüm cluster’ı yöneten “Cluster Admin” seviyesine çıkmaktır.
Savunma stratejisinin temelini; Least Privilege (En az yetki) ilkesiyle yapılandırılmış RBAC, varsayılan olarak her şeyi reddeden (Default-Deny) ağ politikaları ve imzasız imajların dağıtılmasını engelleyen Admission Controller yapıları (Gatekeeper/Kyverno) oluşturur. Ayrıca, saniyeler içinde değişen bu dinamik yapıda güvenliği statik tutmak imkansızdır; bu nedenle eBPF tabanlı araçlarla (Falco, Tracee) yapılan çalışma zamanı (runtime) izlemesi, anomali tespiti için hayati önem taşır.
Bulut Yerli (Cloud‑Native) Ortamlarda Konteyner Kaçış (Container Escape) Teknikleri
Modern bulut yerli (cloud-native) mimarilerin temel taşı olan konteynerler, sanal makinelerin aksine host işletim sistemiyle aynı çekirdeği (kernel) paylaşır. Bu paylaşımlı yapı, izolasyonun zayıfladığı durumlarda saldırganların konteyner sınırlarını aşarak ana sisteme (host) veya komşu iş yüklerine erişmesine olanak tanıyan Konteyner Kaçışı (Container Escape) riskini doğurur.
Bu kaçış senaryoları genellikle çekirdek açıklarından ziyade; “privileged” (aşırı ayrıcalıklı) çalışma modları, Docker socket gibi kritik dosyaların konteynere mount edilmesi veya yanlış yapılandırılmış Kubernetes RBAC izinleri gibi operasyonel hatalardan tetiklenir.
Bir pod içinden başlayan saldırı; yanal hareketle tüm cluster’ı ele geçirme, hassas verileri sızdırma veya bulut sağlayıcısının IAM rollerini kötüye kullanarak altyapı düzeyinde yetki yükseltme gibi zincirleme felaketlere yol açabilir. Bu tehdide karşı en etkili savunma; “en az ayrıcalık” (least privilege) prensibi, salt okunur dosya sistemleri, runtime tehdit tespiti ve pod güvenlik politikalarının (PSA) sıkı bir disiplinle uygulanmasıdır.