DEV Community

Yunus Emre Dere
Yunus Emre Dere

Posted on

NeuVector - Rke2: Kubernetes İçin Derinlemesine Güvenlik

#kubernetes #firewall #devops #neuvector

Standart Kubernetes ağ politikaları (Network Policies) ve klasik güvenlik duvarları, podlar arasındaki trafiği (East-West) analiz etmede yetersiz kalır. Bu araçlar genellikle IP ve Port seviyesinde (Layer 3/4) çalışır, ancak uygulama katmanındaki (Layer 7) tehditleri göremezler.

Bu yazıda, RKE2 üzerinde koşan iş yüklerimizi korumak için neden NeuVector tercih ettiğimizi, teknik mimarisini ve diğer çözümlerden farkını inceleyeceğiz.

NeuVector, patentli Derin Paket İnceleme (DPI) teknolojisi ile konteyner trafiğini gerçek zamanlı analiz eder ve Zero-Trust prensibini cluster içine kadar indirger.

Detaylar ve Temel Özellikler

1. Canlı Ağ Güvenliği (Runtime Security)

Genellikle güvenlik araçları imajlardaki açıkları tarar. NeuVector ise çalışma zamanında podlar arası trafiği izler.

  • Deep Packet Inspection (DPI): Pod'lar birbirleriyle konuşurken paketlerin içine bakar. Bir SQL Injection veya şüpheli bir DNS sorgusu görürse, ağ seviyesinde bunu engelleyebilir.
  • East-West Trafiği: Klasik firewall'lar sadece dışarıdan gelen (North-South) trafiği görür. NeuVector ise cluster içindeki (East-West) trafiği görür ve yönetir.

2. Zero-Trust ve Davranışsal Öğrenme

NeuVector kurulduğu andan itibaren hemen trafiği izlemeye başlar ve normal davranışları öğrenir.

  • Discover: Uygulamanın kimle konuştuğunu öğrenir ve otomatik kurallar oluşturur.
  • Monitor: Normalin dışına çıkıldığında, yani bir pod normalde hiç iletişime geçmediği bir podla iletişime geçerse sadece alarm verir.
  • Protect: Normal dışı her türlü hareketi bloklar. Yani saldırgan içeri girse bile ağda hareket edemez.

3. Zafiyet ve Uyumluluk Taraması

  • Konteynır imajlarını hem registry'de hem de çalışırken tarar.
  • CIS Benchmark (Kubernetes güvenlik standartları) testlerini otomatik yapar ve raporlar.

Olumsuz Yanları

Yüksek Kaynak Tüketimi

Ağ trafiğini analiz etmek için her Kubernetes Node'una bir "Enforcer" podu kurar.

Sorun: Bu Enforcer'lar, geçen her veri paketini açıp (Layer 7 inceleme) içine baktığı için ciddi miktarda CPU ve Bellek tüketebilir.

Ağ Gecikmesi (Latency)

Sorun: Aşırı düşük gecikme gerektiren gerçek zamanlı uygulamalarda performans olumsuz etkilenebilir.

Protect Moduna Geçiş Riski

NeuVector'un en güçlü yanı en riskli yanı olabilir.

Sorun: Sistem öğrenme modundayken görmediği nadir bir trafiği, koruma moduna geçtiğinde tehdit sanıp engelleyebilir. Bu yüzden Protect modunda kullanmaktansa Alarm modunda kullanmak daha tercih edilebilir bir seçimdir.

Karmaşık Yönetim ve Öğrenme Eğrisi

  • Basit bir antivirus gibi "kur ve unut" türü bir yazılım değildir.
  • Detayları ve kuralları anlamlandırmak zor olabilir.

İlk Kurulumda Kargaşa

Sorun: Kubernetes ortamları çok gürültülüdür (Health checkler, DNS sorguları, metrik toplayıcılar vb.). Bu sebeple çok fazla sayıda anlamsız kural oluşabilir ve bunları temizlemek zaman alabilir.

Ne Zaman Kullanılmalı?

Eğer blog sitesi gibi basit bir sistem ise kaynakları boşa harcamak olur. Ama finans, bankacılık veya hassas verilerin olduğu, "Zero Trust" bir mimaride NeuVector vazgeçilmezdir.

Mimari ve Kavramlar

5 temel kavramı vardır.

1. Üç Temel Bileşen

NeuVector kurulduğunda Cluster içinde birkaç farklı pod görülür:

  1. Controller (Beyin): Kuralları yönetir, kararları verir. Genelde 3 kopya çalışır.
  2. Manager (Yüz): Web Arayüzünü (UI) sağlayan servistir.
  3. Enforcer (Kas): En kritiği budur. Her bir node üzerinde bir ajan gibi (DaemonSet olarak) çalışır. Trafiği kesen veya izin veren, paketin içine bakan parça budur.
  4. Scanner (Göz): İmajları tarayıp güvenlik açığı (CVE) bulan parçadır.

2. Altın Kural: "Önce Öğren, Sonra Koru"

Doğru akış şu şekildedir:

  • Discover: Sistemi en az 1-2 hafta bu modda bırakmak gerekir. NeuVector normal trafiğin ne olduğunu, hangi servisin kiminle konuştuğunu öğrensin.
  • Monitor: Kurallar oturduktan sonra bu moda geçilmelidir. Artık yeni veya bilinmeyen bir trafik gelirse engellemez ama Alarm verir.
  • Protect: Sadece %100 emin olunan servislerde bu moda geçilmelidir.

3. SUSE ve Açık Kaynak Durumu

SUSE firmasının ürünü satın alması ile tamamen açık kaynak oldu. Eski enterprise özelliklerinin çoğu artık bedava. DockerHub veya GitHub üzerinden imajlar ücretsiz olarak çekilebilir.

4. Kurallar Kod Olarak Dışarı Alınabilir (Security As Code)

Mesela NeuVector Development ortamında trafiği öğrendi. Bu kuralları YAML dosyası olarak Export edebilirsiniz. Daha sonrasında Production ortamında uygulayarak öğrenme süresi kısılabilir. Bu, DevOps süreçleri için harika bir özelliktir.

5. Helm İle Kurulum

Resmi Helm Chartı vardır ve kurulumu standarttır.

Diğer Firewall'lar ile Karşılaştırma

Özellik NeuVector Cilium (Hubble) Calico Istio (Service Mesh)
Temel Teknoloji Özel DPI Motoru eBPF (Linux Kernel) Iptables / eBPF Envoy Proxy (Sidecar)
En Güçlü Yanı DPI (Derin Paket İnceleme) Yüksek Performans & Ölçek Standart ve Kararlı Trafik Yönetimi & mTLS
OSI Katmanı Katman 7 (Uygulama) Katman 3-4 (ve kısmen 7) Katman 3-4 (IP/Port) Katman 7 (Uygulama)
Paket İçeriği ✅ Okur (SQLi vb. görür) ❌ Genelde okumaz ❌ Okumaz ✅ Okur (Yönlendirme için)
Görünürlük (UI) ✅ Çok detaylı Ağ Haritası ✅ Hubble UI ⚠️ Temel ✅ Kiali vb. ile harita var
WAF Özelliği ✅ Var (Basit WAF) ❌ Yok ❌ Yok ❌ Yok (Eklenti gerekir)
Öğrenme Modu ✅ Otomatik kural yazar ❌ Manuel ❌ Manuel ❌ Manuel
Kaynak Tüketimi Orta/Yüksek Düşük Düşük Yüksek
Kullanım Amacı Tam Güvenlik / Saldırı Engelleme Ağ Bağlantısı & Gözlem Standart Ağ Politikaları Servisler Arası Şifreleme

Ek Bilgi: WAF Nedir?

WAF (Web Application Firewall): İnternetten gelebilecek saldırılara karşı koruyan özel bir güvenlik kalkanıdır. Basitçe, klasik güvenlik duvarı "ağ trafiğine" bakarken, WAF "uygulamanın diline" (HTTP/HTTPS) bakar.

WAF Neleri Engeller? (OWASP Top 10)

Genelde Layer 7 (Uygulama Katmanı) seviyesinde çalışır ve şunları yakalar:

  • SQL Injection (SQLi): Saldırganın web sitesindeki formları kullanarak veritabanını çalmaya çalışması.
  • Cross-Site Scripting (XSS): Web sayfasına zararlı JavaScript kodları gömerek kullanıcıların bilgilerini çalma girişimi.
  • Cookie Poisoning: Kullanıcı oturumlarını ele geçirme çabaları.
  • L7 DDoS Saldırıları: Siteyi çökertmek için yapılan sahte ve yoğun istekler.

Top comments (0)