Koncepty zabezpečení v AKS povolené službou Azure Arc

Článek
02/15/2024

Platí pro: AKS v Azure Stack HCI 22H2, AKS na Windows Serveru

Zabezpečení v AKS povolené službou Azure Arc zahrnuje zabezpečení infrastruktury a aplikací spuštěných v clusteru Kubernetes. AKS s povolenou službou Arc podporuje možnosti hybridního nasazení pro Azure Kubernetes Service (AKS). Tento článek popisuje opatření pro posílení zabezpečení a integrované funkce zabezpečení používané k zabezpečení infrastruktury a aplikací v clusterech Kubernetes.

Zabezpečení infrastruktury

Služba AKS povolená službou Arc používá k zabezpečení své infrastruktury různá bezpečnostní opatření. Následující diagram znázorňuje tyto míry:

Následující tabulka popisuje aspekty posílení zabezpečení AKS v Azure Stack HCI, které jsou znázorněny v předchozím diagramu. Koncepční základní informace o infrastruktuře pro nasazení AKS najdete v tématu Clustery a úlohy.

Aspekt zabezpečení	Description
1	Vzhledem k tomu, že hostitel AKS má přístup ke všem clusterům úloh (cílovým), může být tento cluster kritickým bodem ohrožení. Přístup k hostiteli AKS je ale pečlivě kontrolovaný, protože účelem clusteru pro správu je pouze zřizování clusterů úloh a shromažďování agregovaných metrik clusteru.
2	Aby se snížily náklady na nasazení a složitost, clustery úloh sdílejí základní Windows Server. V závislosti na potřebách zabezpečení se ale správci můžou rozhodnout, že cluster úloh nasadí na vyhrazený Windows Server. Když clustery úloh sdílejí základní Windows Server, nasadí se každý cluster jako virtuální počítač, což zajišťuje silné záruky izolace mezi clustery úloh.
3	Úlohy zákazníka se nasazují jako kontejnery a sdílejí stejný virtuální počítač. Kontejnery jsou procesně izolované od sebe navzájem, což je slabší forma izolace v porovnání se silnými zárukami izolace, které nabízejí virtuální počítače.
4	Kontejnery spolu komunikují přes překryvnou síť. Správci můžou nakonfigurovat zásady Calico tak, aby definovaly pravidla izolace sítě mezi kontejnery. Calico podporuje kontejnery Windows i Linux a je opensourcový produkt, který se podporuje tak, jak je.
5	Komunikace mezi integrovanými komponentami Kubernetes AKS v Azure Stack HCI, včetně komunikace mezi serverem rozhraní API a hostitelem kontejneru, se šifruje prostřednictvím certifikátů. AKS nabízí předdefinované zřizování, obnovování a odvolávání certifikátů.
6	Komunikace se serverem rozhraní API z klientských počítačů s Windows je zabezpečená pomocí Microsoft Entra přihlašovacích údajů pro uživatele.
7	Pro každou verzi Microsoft poskytuje virtuální pevné disky pro virtuální počítače AKS v Azure Stack HCI a v případě potřeby použije příslušné opravy zabezpečení.

Zabezpečení aplikací

Následující tabulka popisuje různé možnosti zabezpečení aplikací, které jsou k dispozici v AKS s povolenou službou Arc:

Poznámka

Máte možnost použít open source možnosti posílení zabezpečení aplikací, které jsou dostupné ve vámi zvoleném ekosystému open source.

Možnost	Popis
Sestavení zabezpečení	Cílem zabezpečení sestavení je zabránit tomu, aby se ohrožení zabezpečení zanesla do kódu aplikace nebo do imagí kontejneru při generování imagí. Integrace Kubernetes s Azure GitOps, která podporuje Azure Arc, pomáhá s analýzou a pozorováním, což vývojářům dává příležitost opravit problémy se zabezpečením. Další informace najdete v tématu Nasazení konfigurací pomocí GitOps v clusteru Kubernetes s podporou Azure Arc.
Zabezpečení služby Container Registry	Cílem zabezpečení registru kontejneru je zajistit, aby se při nahrávání imagí kontejneru do registru, při ukládání image do registru a při stahování imagí z registru nezanesla ohrožení zabezpečení. AKS doporučuje použít Azure Container Registry. Azure Container Registry zahrnuje kontrolu ohrožení zabezpečení a další funkce zabezpečení. Další informace najdete v dokumentaci k Azure Container Registry.
Microsoft Entra identit pro úlohy Windows s využitím gMSA pro kontejnery	Úlohy kontejnerů Windows můžou zdědit identitu hostitele kontejneru a použít ji k ověřování. Díky novým vylepšením nemusí být hostitel kontejneru připojený k doméně. Další informace najdete v tématu Integrace gMSA pro úlohy Windows.

Integrované funkce zabezpečení

Tato část popisuje integrované funkce zabezpečení, které jsou aktuálně dostupné v AKS s povolenou službou Azure Arc:

Cíl zabezpečení	Funkce
Ochrana přístupu k serveru rozhraní API	Podpora jednotného přihlašování Active Directory pro PowerShell a klienty Windows Admin Center. Tato funkce je aktuálně povolená jenom pro clustery úloh.
Ujistěte se, že veškerá komunikace mezi integrovanými komponentami Kubernetes řídicí roviny je zabezpečená. To zahrnuje i zabezpečení komunikace mezi serverem rozhraní API a clusterem úloh.	Integrované řešení certifikátů s nulovou platností pro zřizování, obnovování a odvolávání certifikátů Další informace najdete v tématu Zabezpečená komunikace s certifikáty.
Obměňte šifrovací klíče úložiště tajných kódů Kubernetes (etcd) pomocí modulu plug-in Serveru správy klíčů (KMS).	Modul plug-in pro integraci a orchestraci obměně klíčů se zadaným poskytovatelem Služby správy klíčů Další informace najdete v tématu Šifrování tajných kódů atd.
Monitorování hrozeb v reálném čase pro kontejnery, které podporují úlohy pro kontejnery Windows i Linux.	Integrace s Azure Defenderem pro Kubernetes připojeným ke službě Azure Arc, která je nabízena jako funkce Public Preview až do vydání obecné verze detekce hrozeb Kubernetes pro Kubernetes připojené ke službě Azure Arc. Další informace najdete v tématu Ochrana clusterů Kubernetes s podporou Azure Arc.
Microsoft Entra identita pro úlohy Windows.	Ke konfiguraci identity Microsoft Entra použijte integraci gMSA pro úlohy Windows.
Podpora zásad Calico pro zabezpečení provozu mezi pody	Informace o použití zásad Calico najdete v tématu Zabezpečení provozu mezi pody pomocí zásad sítě.

Další kroky

V tomto tématu jste se dozvěděli o konceptech zabezpečení AKS s podporou Azure Arc a o zabezpečení aplikací v clusterech Kubernetes.