Osvědčené postupy pro správu a zabezpečení imagí kontejneru v Azure Kubernetes Service (AKS)

Zabezpečení imagí kontejnerů je při vývoji a spouštění aplikací v Azure Kubernetes Service (AKS) hlavní prioritou. Kontejnery se zastaralými základními imagemi nebo neopravenými moduly runtime aplikací představují bezpečnostní riziko a možný vektor útoku.

Minimalizujte rizika integrací a spouštěním nástrojů pro kontrolu a nápravu v kontejnerech za sestavení a za běhu. Čím dříve zachytíte ohrožení zabezpečení nebo zastaralou základní image, tím lépe cluster zabezpečíte.

V tomto článku "kontejnery" znamená:

  • Image kontejneru uložené v registru kontejneru.
  • Spuštěné kontejnery.

Tento článek se zaměřuje na to, jak zabezpečit kontejnery v AKS. Získáte informace o těchto tématech:

  • Vyhledejte a opravte ohrožení zabezpečení imagí.
  • Automaticky aktivovat a znovu nasadit image kontejneru při aktualizaci základní image.

Můžete si také přečíst osvědčené postupy pro zabezpečení clusterů a podů.

Zabezpečení kontejnerů v Defenderu pro cloud můžete také použít ke kontrole ohrožení zabezpečení kontejnerů. Azure Container Registry integrace s Defenderem for Cloud pomáhá chránit vaše image a registr před ohroženími zabezpečení.

Zabezpečení imagí a doby běhu

Osvědčené postupy

Zkontrolujte ohrožení zabezpečení v imagích kontejneru. Nasazujte pouze ověřené image. Pravidelně aktualizujte základní image a modul runtime aplikací. Znovu nasaďte úlohy v clusteru AKS.

Při osvojování úloh založených na kontejnerech budete chtít ověřit zabezpečení imagí a modulu runtime používaných k vytváření vlastních aplikací. Jak zabráníte tomu, aby se do vašich nasazení zaváděla ohrožení zabezpečení?

  • Do pracovního postupu nasazení zahrňte proces kontroly imagí kontejnerů pomocí nástrojů, jako je Twistlock nebo Aqua.
  • Povolte nasazení jenom ověřených imagí.

Prohledávání a oprava imagí kontejneru, ověření a nasazení

Můžete například použít kanál kontinuální integrace a průběžného nasazování (CI/CD) k automatizaci kontrol, ověřování a nasazení imagí. Azure Container Registry zahrnuje tyto možnosti kontroly ohrožení zabezpečení.

Automatické vytváření nových imagí na základě aktualizace základní image

Osvědčené postupy

Při používání základních imagí pro image aplikací používejte automatizaci k vytváření nových imagí při aktualizaci základní image. Vzhledem k tomu, že aktualizované základní image obvykle zahrnují opravy zabezpečení, aktualizujte všechny podřízené image kontejneru aplikací.

Při každé aktualizaci základní image byste měli aktualizovat také všechny podřízené image kontejneru. Integrujte tento proces sestavení do kanálů ověřování a nasazení, jako jsou Azure Pipelines nebo Jenkins. Tyto kanály zajišťují, aby vaše aplikace dál běžely na aktualizovaných imagích. Po ověření imagí kontejneru aplikací je pak možné nasazení AKS aktualizovat tak, aby spouštěla nejnovější zabezpečené image.

Azure Container Registry Úkoly také můžou automaticky aktualizovat image kontejneru při aktualizaci základní image. Pomocí této funkce vytvoříte několik základních imagí a aktualizujete je o opravy chyb a zabezpečení.

Další informace o aktualizacích základních imagí najdete v tématu Automatizace sestavení imagí na základě aktualizace základní image pomocí Azure Container Registry Tasks.

Další kroky

Tento článek se zaměřil na to, jak zabezpečit kontejnery. Pokud chcete implementovat některé z těchto oblastí, přečtěte si následující články: