أفضل الممارسات لإدارة نسخة الحاوية والأمان في خدمة Azure Kubernetes (AKS)

يعد أمان صورة الحاوية والحاوية أولوية رئيسية عند تطوير التطبيقات وتشغيلها في Azure Kubernetes Service (AKS). تقدم الحاويات ذات الصور الأساسية القديمة أو أوقات تشغيل التطبيقات غير المتطابقة مخاطر أمنية وناقلات هجوم محتملة. يمكنك تقليل هذه المخاطر عن طريق دمج وتشغيل أدوات الفحص والمعالجة في حاوياتك في وقت الإنشاء والتشغيل. في وقت سابق الذي تلتقط فيه الثغرة الأمنية أو الصورة الأساسية القديمة، كان تطبيقك أكثر أمانا.

في هذه المقالة، تشير "الحاويات" إلى كل من صور الحاوية المخزنة في سجل الحاوية والحاويات قيد التشغيل.

تركز هذه المقالة على كيفية تأمين الحاويات الخاصة بك في AKS. ‏‫ستتعلم كيفية:

  • امسح ضوئيًا الثغرات الأمنية للنسخة وقم بإصلاحها.
  • قم بتشغيل صور الحاوية وإعادة توزيعها تلقائيا عند تحديث أي نسخة أساسية.
  • يمكنك قراءة أفضل الممارسات لأمان نظام المجموعة وأمان الجراب.
  • يمكنك استخدام أمان الحاوية في Defender for Cloud للمساعدة في فحص الحاويات بحثا عن الثغرات الأمنية. يساعد تكامل Azure Container Registry مع Defender for Cloud على حماية صورك وسجلك من نقاط الضعف.

تأمين الصور ووقت التشغيل

إرشادات أفضل الممارسات

  • مسح نسخ الحاوية ضوئيًا بحثا عن ثغرات أمنية.
  • توزيع النسخ التي تم التحقق من صحتها فقط.
  • تحديث النسخ الأساسية ووقت تشغيل التطبيق بانتظام.
  • إعادة توزيع أعباء العمل في مقطع تخزين AKS.

عند اعتماد أحمال العمل المستندة إلى الحاوية، تريد التحقق من أمان الصور ووقت التشغيل المستخدم لإنشاء تطبيقاتك الخاصة. للمساعدة في تجنب إدخال الثغرات الأمنية في عمليات التوزيع الخاصة بك، يمكنك استخدام أفضل الممارسات التالية:

  • قم بتضمين عملية لمسح صور الحاوية ضوئيا باستخدام أدوات، مثل Twistlock أو Aqua في سير عمل التوزيع.
  • السماح فقط بتوزيع النسخ التي تم التحقق منها.

مسح نسخ الحاوية ضوئيَا وإصلاحها والتحقق من صحتها وتوزيعها

على سبيل المثال، يمكنك استخدام مسار تكامل مستمر وتوزيع مستمر (CI/CD) لأتمتة عمليات مسح النسخ والتحقق منها وتوزيعها. يتضمن Azure Container Registry قدرات مسح هذه الثغرات الأمنية ضوئيَا.

إنشاء صور جديدة تلقائيا على تحديث النسخ الأساسية

إرشادات أفضل الممارسات

أثناء استخدام النسخ الأساسية لصور التطبيق، استخدم التنفيذ التلقائي لإنشاء نسخ جديدة عند تحديث النسخة الأساسية. نظرا لأن النسخ الأساسية المحدثة تتضمن عادة إصلاحات أمان، قم بتحديث أي نسخ حاوية تطبيق في المصب.

في كل مرة يتم فيها تحديث نسخ أساسية، ينبغي عليك أيضا تحديث أي نسخ حاوية في المصب. دمج عملية التحويل البرمجي هذه في البنيات الأساسية للتحقق من الصحة والتوزيع مثل Azure Pipelines أو Jenkins. تضمن هذه المسارات استمرار تشغيل تطبيقاتك على الصور المستندة إلى المحدثة. بمجرد التحقق من صحة صور حاوية التطبيق الخاص بك، يمكنك بعد ذلك تحديث عمليات نشر AKS لتشغيل أحدث الصور الآمنة.

يمكن أيضا أن تقوم Azure Container Registry Tasks بتحديث نسخ الحاوية تلقائيا عند تحديث النسخ الأساسية. مع هذه الميزة، يمكنك إنشاء عدد بسيط من النسخ الأساسية والاحتفاظ بها محدثة مع الخطأ وإصلاحات الأمان.

للحصول على مزيد من المعلومات حول تحديثات النسخ الأساسية، راجع التنفيذ التلقائي لتحديثات إصدار النسخة على تحديث النسخة الأساسية باستخدام Azure Container Registry Tasks.

الخطوات التالية

ركزت هذه المقالة على كيفية تأمين الحاويات الخاصة بك. لتنفيذ بعض هذه المجالات، راجع المقالة التالية: