Unuttuğunuz Sunucular ve Sertifikalar: DevOps Kontrol Listesinde Neden Yer Almalı?

Evdeki bir dolabı temizlerken merakla sakladığınız eski kıyafetleri bulma deneyiminiz olmuştur herhalde. Altyapınız da benzer bir sorunla karşı karşıya—tek fark, unutulan şeyler SSL sertifikaları, alt alanlar ve belki de hiç güncellenmemiş sunucular.

Hayalet Alt Alanlar Sorunu

Şu durumu düşünün: Bir geliştirici yeni bir özelliği test etmek için staging-v2.yourcompany.com adında bir alt alan oluşturuyor. Proje iptal ediliyor. Ama alt alan duruyor. İki yıl sonra hala canlı, eski uygulama versiyonuyla, güncellenmiş olmayan bağımlılıklarla ve herhangi bir izleme mekanizması olmadan çalışıyor.

Bu arada güvenlik ekibiniz sadece beş kritik noktayı yönettiğini düşünüyor. Gerçekte on yediye sahibiz.

En kötü kısım ise bu alt alanlar için düzenlenen her sertifika halka açık şekilde kaydediliyor. Aktif olarak bu bilgileri aramıyorsanız, tamamen körü körüne işlem yapıyorsunuz demektir.

Sertifika Şeffaflığı Günlükleri Nasıl Çalışır (ve Neden Önemlidir)

Meşru bir sertifika otoritesi her SSL/TLS sertifikası düzenlediğinde, bu işlemi halka açık Certificate Transparency (CT) günlüklerine kaydetmek zorundadır. Böyle bir şeffaflık aslında bir güvenlik özelliğidir—rogue sertifika otoritelerinin sizin izniniz olmadan sizin domainleriniz için sahte sertifikalar düzenlemesini engeller.

Ama bu aynı zamanda alt alan geçmişinizin tamamının halka açık araçlarla sorgulanabilir olduğu anlamına gelir.

Bir domain için hiç sertifika düzenlenen tüm alt alanları öğrenmek ister misiniz? Bir CT günlüğü sorgu aracını kullanın. Saniyeler içinde tam bir liste elde edin. İşte tam da bu yüzden bu sorun o kadar acil—bunu siz yapabilirseniz, başkaları da yapabilir.

Üç Katmanlı Keşfetme Problemi

Çoğu kuruluş tam bir altyapı envanterini tutamaz çünkü bilgiler üç farklı yerde yaşıyor:

1. DNS Kayıtları Şu anda ne canlı olarak işaret ediliyor. Ama DNS değişir. Eski kayıtlar silinir. api-old.yourcompany.com DNS'ten kaldırılmış olsa da, bir EC2 örneğinde yapılandırılı durumda kalabilir.

2. Aktif Hizmetler Çalıştığını düşündüğünüz şeyler. Üretim panolarınızda görünüyor. Belgelerinizde listelenmiş. Ama test ortamları? Deneme sunucuları? Yarım kalan projeler? Bunlar çoğu zaman AWS hesabının unutulmuş bir köşesinde var olup durur.

3. Sertifika Günlükleri Mutlak gerçeğin kaynağı: hiç sertifikası düzenlenen her alt alan. İster dikkat edin ister etmeyin, bu sizin denetim izinizdir.

Çoğu şirket sadece birini ya da ikisini izler. Boşluklar işte orada açılır.

Bunun Mali Açıdan Neden Önemli Olduğu

Etkilere bakalım. Unutulan sunucular zincir halinde sorunlara yol açar:

Güvenlik Riski: Yamlanmamış uygulamalar, izlenmeden çalışıyor. Log toplama yok. Birisi bunu araştırdığında uyarı yok. Ağınıza bedava bir arka kapı olur.

Uyum Sıkıntısı: SOC 2, ISO 27001, PCI-DSS—hepsi kapsamınızda neyin olduğunu bilmenizi şart koşuyor. Denetçi sizden sistem envanterini istediğinde, her şeyi güvenle listeleyebilir misiniz?

Maliyet İsrafı: 2022'den kalan test ortamı hala çalışıyor. Hiçbir yere bağlı olmayan load balancer hala ücretlendiriliyorsunuz. Zaman geçtikçe, unutulan altyapı aylık binlerce doları tüketebilir.

Olay Müdahalesi Engeli: Sorun yaşandığında, ekibiniz başından beri fark olması gereken sistemleri keşfetmek için zaman harcıyor.

Denetim Yaklaşımı: Gerçekten Kontrol Etmeniz Gerekenler

Düzgün bir sertifika keşfetme ve denetim süreci şunları içermelidir:

1. CT Günlüğü Sorgusu Root domainleriniz için hiç sertifikası düzenlenen her alt alanı çekin. Bu, tam geçmiş envanteriniz.

2. Canlı TLS El Sıkışması Testi Sadece eski günlüklere bakmayın. Şu anda gerçekten ne çalıştığını doğrulayın. Keşfettiğiniz her alt alan için yeni bir TLS el sıkışması yapın ve kontrol edin:

• Sertifika ana bilgisayar adıyla eşleşiyor mu?
• Kimler tarafından ve ne zaman düzenlendi?
• Ne zaman sona eriyor?
• Kendi imzalı mı, yoksa güvenilir bir otoriteden mi?

3. Uyumsuzluk Algılama Bir alt alanın sertifikası varsa ama DNS kayıtlarınızda yoksa, bu bir uyarı işaretidir. Sertifika beklenmeyen bir otoriteyse ya da süresi geçmişse de öyle. Bu, bir şeyin yetim kaldığına işaret eder.

Sürdürülebilir Sertifika Yönetimi Oluşturmak

Tek seferlik denetimler güzel, ama sürekli dikkat gerekir:

Sertifika İzlemesini Otomatikleştirin: Özellikle unuttuğunuz sistemlerdekiler olmak üzere, süresi dolmak üzere olan sertifikalar için uyarılar ayarlayın. Üretim ortamında bir sertifika hatası kadar harekete geçiren bir şey vardır.

Varlık Envanterinizle Entegre Edin: Sertifika keşfetme sonuçlarını CMDB'nize ya da varlık yönetim aracınıza bağlayın. Unutulan sistemleri altyapı kararlarında rol oynayan herkesin görmesi için görünür hale getirin.

Alt Alan Amacını Belgeleyin: CT günlükleri aracılığıyla bir alt alan keşfettiğinizde, hemen sınıflandırın: Üretim mi? Test mi? Kullanımdan kaldırılmış mı? Ortak taraflı mı? Bu bağlam gelecekteki karışıklığı engeller.

Düzenli Denetimler Planlayın: Aylık ya da üç aylık sertifika denetimi, güvenlik rutininizin parçası olmalı. Yeni eklenen (ya da izinsiz yapılan) değişiklikleri tespit etmek için önceki taramaları karşılaştırın.

TLS En İyi Uygulamalarını Zorunlu Kılın: Bu keşfetme işlemini zayıf sertifika otoritelerini yükseltmek, OCSP stapling uygulamak ya da HTTP/2'yi zorunlu kılmak için bir fırsat olarak kullanın. Bir taşla iki kuşu vursun.

DevOps Gerçeklik Kontrolü

Bir miktar da olsa ölçekte altyapı çalıştırıyorsanız—daha on düzine hizmet bile olsa—büyük ihtimalle unuttuğunuz bir şey vardır. Bu başarısızlık değildir. İnsan olmanın doğasıdır. Gerçek başarısızlık, çalıştığı şeyin tam resmine sahip olmadan işleme devam etmektir.

Sertifika keşfetme, olgun DevOps ekiplerini tepkisel olanllardan ayıran, sıkıcı ama kritik işlerdendir. Gösterişli değildir. Sprint geri dönüşünde yer almaz. Ama bir denetçi sistem envanterinizi istediğinde ya da unutulan bir test sunucusu bir ihlale vektör olduğunda, önemli olan tam da bu çalışmadır.

Bugün Başlayın

İyi haber: Yeni araçlara ya da altyapı erişimine ihtiyaç yok. Başlamak için basit bir domain adı yeterli. Kök domainlerinize bir araç gösterin, halka açık CT günlüklerini sorgulamaya bırakın ve ne çıktığını izleyin.

Muhtemelen şaşıracaksınız. Çoğu ekip yaşıyor bu şaşkınlığı.

Sonra zor kısım gelir: Her keşfettiği şeyi sınıflandırmak, hangi sistemleri kapatacağına karar vermek, yeni körlükleri önlemek için süreçler kurmak. Ama bu asıl başı yapan işler.

2022'den kalma test ortamınız hala orada. Belki bulmanın zamanı geldi.