CI/CD (Sürekli Entegrasyon ve Sürekli Dağıtım) süreçlerinde sıfır güven güvenlik uygulamalarından biri olarak, bulut servislerine erişim için GitHub Actions (GitHub İşlemleri) gibi araçları OpenID Connect (OIDC) gibi federatif kimlik mekanizmaları üzerinden doğrulamak önerilir. GitHub Actions yaygın olarak kullanıldığı ve bu önemli teknik henüz yeterince kullanılmadığı için, OIDC'nin GitHub Actions için nasıl kullanılacağını özellikle belirtmek önemlidir. Böylece, bulut kaynaklarınız için uzun ömürlü erişim token'ları saklamaktan kaçınabilirsiniz ve işlemleriniz doğrudan gizli bilgilere erişim sağlamaz. Ancak, işlemlerin gerçekten en az ayrıcalıkla çalıştığından emin olmak için erişimi dikkatlice kapsamlandırmak önemlidir.
Bu açıklama, OIDC'nin GitHub Actions içinde nasıl kullanılacağı ve bunun CI/CD güvenliğine nasıl katkıda bulunacağı hakkında genel bir fikir vermektedir.
OIDC'nin GitHub Actions içinde nasıl kullanılacağını örnek bir senaruo ile anlatır mısın?
Elbette, OpenID Connect (OIDC) kullanarak GitHub Actions içinde bir CI/CD işlemi nasıl yapılır, bunu bir örnek senaryo ile açıklayabilirim.
Örnek Senaryo: Bulut Ortamında Bir Uygulamanın Dağıtımı
Adım 1: OIDC Sağlayıcısını Yapılandırma
Öncelikle, GitHub projeniz için bir OIDC sağlayıcısı (örneğin, AWS, Azure, Google Cloud) yapılandırmanız gerekiyor. Bu, GitHub Actions işlemlerinin bulut kaynaklarınıza güvenli bir şekilde erişmesine olanak tanır.
Bulut sağlayıcınızda, GitHub Actions için bir IAM rolü oluşturun ve bu role uygun izinler verin. Bu rol, GitHub Actions'ın kullanacağı kimlik bilgilerini temsil eder.
Adım 2: GitHub Actions İşlemi Oluşturma
GitHub reposuna bir .github/workflows dizini oluşturun ve içine bir işlem dosyası (örneğin, deploy.yml) ekleyin.
Bu işlem dosyasında, OIDC ile kimlik doğrulama yapacak adımları tanımlayın.
Adım 3: OIDC ile Kimlik Doğrulama ve Bulut Kaynaklarına Erişim
İşlem dosyanızda, öncelikle GitHub Actions'ın OIDC üzerinden kimlik bilgilerini almasını sağlayan adımları ekleyin. Bu adım, GitHub'ın oluşturduğu bir JWT (JSON Web Token) kullanarak bulut sağlayıcınızda bir geçici oturum açar.
Örneğin AWS için, aws-actions/configure-aws-credentials@v1 eylemini kullanarak geçici kimlik bilgilerini alabilir ve bu kimlik bilgilerini kullanarak AWS üzerinde işlemler gerçekleştirebilirsiniz.
İşlem dosyanızda, gerekli bulut kaynaklarına erişim sağlayacak ve uygulamanızı dağıtacak adımları ekleyin. Bu, bir Docker konteynerini bir ECS hizmetine dağıtmak, bir Lambda fonksiyonu güncellemek veya bir bulut veritabanına veri yüklemek gibi olabilir.
Adım 4: İşlemi Tetikleme ve İzleme
İşlemi, bir GitHub olayı (örneğin, bir push veya pull request) ile tetikleyin.
GitHub Actions arayüzünden işlemin durumunu izleyin. Eğer herhangi bir hata oluşursa, logları inceleyerek sorunu teşhis edin ve çözün.
Örnek deploy.yml İşlem Dosyası
yaml
Copy code
name: Deploy to Cloud
on:
push:
branches:
- main
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- name: Checkout Repository
uses: actions/checkout@v2
- name: Set up AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
role-to-assume: arn:aws:iam::123456789012:role/GitHubActionsRole
aws-region: us-east-1
- name: Deploy to AWS
run: |
# Komutlarınızı buraya ekleyin (örneğin, AWS CLI kullanarak)
Bu örnek, GitHub Actions kullanarak AWS üzerine bir uygulama nasıl dağıtılacağını göstermektedir. Benzer şekilde, Azure, Google Cloud veya başka bir bulut sağlayıcısı için de işlemleri yapılandırabilirsiniz. Önemli olan, GitHub Actions'ın OIDC üzerinden güvenli ve geçici kimlik bilgileri alarak bulut kaynaklarınıza erişmesini sağlamaktır.
Yani Github üzerindeki bit projemi buluta deploy edecek vir ci/cd pipeline için gerekli bağlantıyı sağlamış mı oluyorum?
Evet, doğru anlamışsınız. GitHub üzerindeki bir projenizi buluta dağıtmak için bir CI/CD (Sürekli Entegrasyon ve Sürekli Dağıtım) pipeline'ı kurarken, OpenID Connect (OIDC) aracılığıyla bu bağlantıyı sağlamış oluyorsunuz. Bu yaklaşım, aşağıdaki avantajları sağlar:
Güvenli Kimlik Doğrulama: OIDC, GitHub Actions işlemlerinin bulut hizmetlerine erişimi için güvenli bir kimlik doğrulama mekanizması sağlar. Bu, uzun ömürlü erişim tokenları veya sabitlenmiş gizli anahtarlar kullanmak yerine, her işlem için geçici kimlik bilgileri oluşturur.
Sıfır Güven Yaklaşımı: Her işlem sadece gerekli olan en az ayrıcalık seviyesine sahip olacak şekilde yapılandırılır. Bu, güvenlik risklerini azaltmaya yardımcı olur.
Otomasyon ve Verimlilik: CI/CD pipeline'ı, kod değişikliklerinin otomatik olarak tespit edilmesi ve bu değişikliklerin bulut ortamınıza hızlı bir şekilde dağıtılmasını sağlar. Bu, manuel süreçlerin yerini alarak zaman tasarrufu sağlar ve hata oranını düşürür.
Esneklik ve Ölçeklenebilirlik: Bu yaklaşım, farklı bulut sağlayıcıları ve hizmetleri ile uyumludur ve projenizin ihtiyaçlarına göre ölçeklendirilebilir.
Özetle, GitHub üzerindeki projenizi buluta dağıtmak için bir CI/CD pipeline'ı kurarken, OIDC aracılığıyla güvenli ve verimli bir şekilde bulut kaynaklarıyla entegrasyon sağlamış olursunuz. Bu, modern yazılım geliştirme süreçlerinde yaygın bir uygulamadır ve güvenlik, otomasyon ve verimlilik açısından önemli avantajlar sunar.
Türk Ninja IT Dünyası'ndan haberler, röportajlar, makaleler, eğitimler ve video içerikleri sunar.
