DevOps & Platform Eng

ClickHouse Docker Güvenliği: DHI Kurumsal Engelleri Aşcheide

Uygulamanızın hiç dokunmadığı paketlerdeki güvenlik açıklarını bulan bir güvenlik tarayıcısı yüzünden mükemmel bir konteyner dağıtımınız iptal edildi mi hiç? Bu, kurumsal dünyada sık karşılaşılan bir baş ağrısı. Şimdi, Docker Hardened Images (DHI) özellikle popüler ClickHouse ile bu soruna çözüm sunuyor.

DevTools Feed 6 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
ClickHouse'un katmanlı mimarisini gösteren bir diyagram.

Key Takeaways

  • Kurumsal güvenlik taramaları, uygulamada değil, kullanılmayan temel imaj paketlerindeki CVE'ler nedeniyle dağıtımları sık sık engeller.
  • Docker Hardened Images (DHI), yalnızca uygulamanın temel bileşenlerini sunarak saldırı yüzeyini önemli ölçüde azaltır.
  • İmaj oluşturmaya yönelik bu minimalist yaklaşım, proaktif güvenlik ve dağıtım verimliliği yönünde önemli bir değişimi temsil eder.

Hiç, kodunuz sağlam olduğu halde, konteynerinizin temel imajındaki önemsiz bir paketin büyük, kırmızı bir CVE bayrağı sallaması yüzünden güvenlik ekibinin dağıtımınızı frenlediği anı yaşadınız mı? Bu, black-tie bir davete biraz fazla rahat bir Hawaii gömleğiyle gitmek gibi; teknik olarak giyimli sayılırsınız ama kesinlikle davetli listesine giremezsiniz.

Bu hayali bir senaryo değil. Geçtiğimiz Kasım ayında, gelişmiş bir LLM gözlem platformu olan Langfuse’u kendi kendine barındıran bir ekip, Kubernetes üzerinde ClickHouse veritabanını üretime hazırlarken tam da bu duvara tosladı. ClickHouse imajlarını AWS ECR’ye yüklediler ve BAM! ClickHouse’un kendisinde değil, temel imajda gizlenen üç kritik güvenlik açığı. Güvenlik ekipleri, gayretli kalpleriyle, tarayıcının raporunu görüp kesinlikle ‘hayır’ dediler.

Bu yazı, Docker Hardened Images (DHI)’ın bizi bu sürekli dağıtım bekleyişinden nasıl kurtarmaya aday olduğunu anlatıyor. DHI’nin yaklaşımını derinlemesine inceleyeceğiz ve en yaygın kullanılan ClickHouse veritabanı imajını ana örnek olarak ele alacağız.

ClickHouse: Göz Ardı Edilemeyecek Analitik Gücü

Önce, ClickHouse’un kendisi hakkında kısa bir bilgi. Eğer büyük ölçekte ciddi analitik yapıyorsanız, ClickHouse’u bilirsiniz. Bu açık kaynaklı, sütun tabanlı veritabanı tam bir canavar; milyarlarca satırı saniyeler içinde işleyip sonuçları milisaniyeler içinde çıkarıyor. Geleneksel satır odaklı veritabanlarınızı unutun; ClickHouse hız için tasarlandı. Cloudflare, Uber ve Spotify gibi şirketler bunu üretimde kullanıyor ve Docker Hub’dan 100 milyondan fazla çekilme ile ciddi analitik verim ihtiyacı olan herkes için fiili altyapı tercihi haline geldi. Ancak her zaman, varsayılan güvenlik duruşu sorun oldu — geliştirici rahatlığı için tasarlandı, kurumsal üretim ortamlarının istediği çelik gibi sertlik için değil. İşte mevcut çıkmazımızın kaynağı da bu.

Görünmeyen Şişkinlik: Temel İmaj Neden Gerçek Suçlu?

Standart clickhouse/clickhouse-server imajı, ne kadar iyi niyetli olursa olsun, tam bir Ubuntu 22.04 temel üzerine kurulu. Ubuntu harika bir işletim sistemi ama ClickHouse gibi son derece özel bir veritabanı için pikniğe tam donanımlı bir mutfak getirmek gibi. Perl, tüm paket yöneticisi (apt), sayısız sistem yardımcı programı ve geçiş bağımlılıkları gibi ClickHouse’un ihtiyaç duymadığı pek çok şeyi beraberinde getiriyor. Bu paketlerin çoğu, yıllardır ana geliştiricilerden bir güvenlik geri yaması bile görmedi.

Odaklanmış dehasıyla ClickHouse, bu paketlerin çoğuna zar zor dokunuyor. Yine de, o paketlerdeki CVE’ler yadsınamaz derecede gerçek. Trivy ve Grype gibi tarayıcılar onları eksiksiz bir şekilde işaretleyecektir. AWS ECR, tarafsız ve mantıksal bir şekilde, orada sadece pasif duran savunmasız bir kütüphane ile aktif olarak sömürülen bir kütüphane arasında ayrım yapamaz. Güvenlik ekibiniz kırmızı bayrakları görüyor ve oldukça doğru bir şekilde dağıtımı engelliyor. Tarayıcının sağladığı bilgilerle donanmış olarak işlerini yapıyorlar.

Elbette, içgüdü kahramanca bir savunma yapmak: karmaşık risk istisna belgeleri hazırlamak, sizin özel iş yükünüzün o eski wget kütüphanesine yamalanmamış CVE-2021-31879 ile asla dokunmayacağına dair makaleler yazmak. Bu, tüketici, zaman alan bir süreç. Bu Kafkaesk kabusun tamamından kaçmanın tek gerçek çözümü, o gereksiz paketleri basitçe kaldırmak. Ve işte dostlarım, Docker Hardened Images (DHI) tam da bunu başarmayı hedefliyor.

DHI: Temel Metal Esansiyellerine Soyunma

Peki, DHI aslında ne yaparak kendini kanıtlıyor? Göreceli olarak basit ama derinlemesine etkili bir soruyla başlıyor: Veritabanının çalışması için gerçekten ne gerekiyor? Geniş, özellik dolu bir Ubuntu temelinden başlayıp CVE sayısının yönetilebilir kalmasını ummak yerine, DHI yalnızca ClickHouse’un gerektirdiği şeyleri titizlikle sunuyor. Geri kalan her şey? Gitti.

Bu minimalist yaklaşımın en acil ve açıkçası en parlak sonucu ne mi? Çalışma zamanında apt‘nin olmaması. Bir saldırganın konteynerinize sızdığını hayal edin. Yerleşik bir paket yöneticisi olmadan, kötü amaçlı araçlar yükleme veya kalıcı dayanaklar oluşturma seçenekleri önemli ölçüde sınırlı hale gelir. curl ve wget gibi ağ yardımcı programları? Aynı güvenlik odaklı nedenlerle kaldırıldı.

Ancak DHI sadece bariz saldırı vektörlerini kaldırmakla yetinmiyor. Daha derine inerek, belki temel işletim sistemi veya diğer araçlar tarafından kullanılan, ancak ClickHouse’un temel işlevi için tamamen ilgisiz olan kütüphaneleri tanımlıyor ve ortadan kaldırıyor. Bu sadece imaj boyutunu küçültmekle ilgili değil (ki bu hoş bir ek fayda). Bu, saldırı yüzeyini büyük ölçüde azaltmak, dağıtımlarınızı doğası gereği daha dirençli hale getirmek ve en önemlisi, katı kurumsal güvenlik ortamlarında dağıtılabilir kılmakla ilgili.

Şöyle düşünün: standart imaj tam donanımlı bir ev. İhtiyacınız olabilecek her şeye sahip, artı ihtiyacınız olmayan çok şey var. DHI imajı mı? Rahatça yaşamak için yalnızca temel bileşenlerle inşa edilmiş, titizlikle tasarlanmış, minimalist bir sığınak. Ve güvenlik ekipleri için o sığınak çok daha çekici görünüyor.

Standart clickhouse/clickhouse-server imajı, tam bir Ubuntu 22.04 temel üzerine kuruludur. Temel, ClickHouse’un ihtiyaç duymadığı Perl, sistem yardımcı programları, apt’nin kendisi ve Ubuntu’nun eski paketleri getirmesi nedeniyle görüntüde bulunan düzinelerce geçiş bağımlılığı gibi birçok şeyi taşır ve birçok durumda Ubuntu bakımcıları üst akıştan gelen düzeltmeleri geri getirmemeye karar verir.

Bu amansız zorunluluk odağı, DHI imajlarının geleneksel muadillerinin çok küçük bir kısmı olabileceği anlamına gelir. Daha küçük imajlar daha hızlı çekimler, daha hızlı dağıtımlar ve potansiyel güvenlik açıkları için azaltılmış bir ayak izi anlamına gelir. Aynı zamanda bir güvenlik ustası oyunu olan bir verimlilik oyunudur.

Buradaki etkiler devasa. Geliştiriciler için, güvenlik istisnalarıyla uğraşarak daha az zaman ve özellik oluşturarak daha fazla zaman harcamak anlamına gelir. Güvenlik ekipleri için, daha temiz raporlar ve dağıtılmış uygulamalara ilişkin daha yüksek güven anlamına gelir. Bu, nihayet uyum bulan sembiyotik bir ilişkidir, hepsi de imaj oluşturmaya daha akıllı bir yaklaşım sayesinde.

Neden Bu Önemli: Yapım Aşamasındaki Bir Platform Kayması

Bu sadece sertleştirilmiş bir ClickHouse imajı hakkında değil. Bu bir sinyal, dağıtım yazılımlarımız hakkında düşündüğümüz temelde bir platform kaymasını aydınlatan bir işaret fişeği. Yıllardır, temel işletim sistemi katmanının, büyük ölçüde olduğu gibi kabul ettiğimiz temel bir bileşen olan, gerekli bir kötülük varsayımı altında hareket ediyoruz. Bu temel katmanlardaki CVE’lerin yaygınlığı, DevOps dünyasında sürekli, düşük seviyeli bir endişe uğultusu haline geldi.

DHI ve temsil ettiği felsefe, bu varsayıma doğrudan meydan okuyor. Temel imajın hoş görülmesi gereken statik bir varlık değil, barındırdığı belirli uygulama için agresif bir şekilde optimize edilebilecek ve edilmesi gereken esnek bir bileşen olduğunu savunuyor. Bu, altyapıya uygulanan bir yapay zeka düşüncesidir - temel ihtiyacı belirlemek ve geri kalan her şeyi acımasızca optimize etmek.

Temel imajlarımızın güvenlik borcunu kabul ettiğimiz bir modelden, onu elimine ettiğimiz bir modele geçiyoruz. Bu sadece marjinal bir iyileştirme değil; bu, monolitik uygulamalardan mikroservislere veya şirket içi sunuculardan bulut tabanlı mimarilere geçişe benziyor. Uygulamalarımızın üzerine inşa edildiği ve dağıtıldığı temel alt tabakada temel bir değişikliktir.

Gelecek Yalın ve İnatçı Olacak

Yapay zeka her katmandan teknolojimize nüfuz etmeye devam ettikçe, bu tür akıllı optimizasyonlardan daha fazlasını göreceğiz. Belirli çalışma zamanı ihtiyaçlarına ve güvenlik politikalarına göre uyarlanmış, herhangi bir uygulama imajından gereksiz bileşenleri dinamik olarak kaldıran yapay zeka destekli derleme sistemlerini hayal edin. ClickHouse için DHI, bu geleceğin bugün geliştiğinin güçlü, somut bir örneğidir. Güvenliğin sonradan düşünülmediği, ancak altyapının kendisinin içsel bir özelliği olduğu bir gelecek. Dağıtımlarınızın engellenmediği, güvenli ve dünyanın onlara attığı her şeye hazır olarak ilerlediği bir gelecek. Ve herhangi bir geliştirici veya Operasyon mühendisi için bu, heyecanlanmaya değer bir gelecek.

**

🧬 İlgili İçgörüler

Sıkça Sorulan Sorular**

Docker Hardened Image (DHI) tam olarak nedir? DHI, uygulamanın çalışması için gereken minimum düzeyde bileşenle oluşturulmuş, saldırı yüzeyini ve potansiyel güvenlik açıklarını önemli ölçüde azaltan bir konteyner imajıdır.

DHI imajları daha yavaş mı başlayacak? Genel olarak hayır. Gereksiz ek yükleri kaldırarak ve imaj boyutunu azaltarak, DHI imajları genellikle şişirilmiş geleneksel imajlardan daha hızlı çekilebilir ve başlatılabilir.

Bu sadece ClickHouse için mi? DHI, birçok uygulamaya uygulanabilen bir metodolojidir, ancak bu makale özellikle ClickHouse için uygulanmasına odaklanmaktadır.

Alex Rivera
Written by
Alex Rivera

Developer tools reporter covering SDKs, APIs, frameworks, and the everyday tools engineers depend on.

#docker #clickhouse #containerization #cve #devops #security
More in DevOps & Platform Eng →

Worth sharing?

Get the best Developer Tools stories of the week in your inbox — no noise, no spam.

Originally reported by Docker Blog

Related Stories