Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: AKS unter Windows Server
Die Sicherheit in AKS unter Windows Server umfasst die Sicherung der Infrastruktur und der Anwendungen, die auf dem Kubernetes-Cluster ausgeführt werden. AKS unter Windows Server unterstützt Hybridbereitstellungsoptionen für Azure Kubernetes Service (AKS). Dieser Artikel beschreibt die Sicherheitsmaßnahmen und die integrierten Funktionen zur Sicherung der Infrastruktur und der Anwendungen auf Kubernetes-Clustern.
Infrastruktursicherheit
AKS unter Windows Server wendet verschiedene Sicherheitsmaßnahmen an, um seine Infrastruktur zu sichern. Diese Maßnahmen sind im folgenden Diagramm dargestellt:
In der folgenden Tabelle werden die Sicherheitshärtungsaspekte von AKS auf Windows Server beschrieben, die im vorherigen Diagramm dargestellt werden. Konzeptionelle Hintergrundinformationen zur Infrastruktur für eine AKS-Bereitstellung finden Sie unter Clusters und Workloads.
| Sicherheitsaspekt | Beschreibung |
|---|---|
| 1 | Da der AKS Host Zugriff auf alle Workload (Ziel)-Cluster hat, kann dieser Cluster ein einziger Angriffspunkt für eine Kompromittierung sein. Der Zugriff auf den AKS-Host wird jedoch sorgfältig kontrolliert, da der Zweck des Verwaltungsclusters auf die Bereitstellung von Workloadclustern und das Erfassen aggregierter Clustermetriken beschränkt ist. |
| 2 | Um die Bereitstellungskosten und die Komplexität zu reduzieren, verwenden Workloadcluster den zugrundeliegenden Windows Server gemeinsam. Abhängig von den Sicherheitsanforderungen können Administratoren jedoch einen Workloadcluster auf einem dedizierten Windows Server bereitstellen. Wenn Workloadcluster den zugrundeliegenden Windows Server gemeinsam verwenden, wird jeder Cluster als VM bereitgestellt, wodurch zwischen den Workloadclustern eine starke Isolation gewährleistet werden kann. |
| 3 | Kundenworkloads werden als Container bereitgestellt und verwenden gemeinsam dieselbe VM. Dabei sind die Prozesse der Container voneinander isoliert, was im Vergleich zur starken Isolation, die VM gewährleisten, eine eher schwächere Form der Isolation darstellt. |
| 4 | Container kommunizieren über ein Überlagerungsnetzwerk miteinander. Administratoren können Calico-Richtlinien konfigurieren, um Netzwerkisolationsregeln zwischen Containern zu definieren. Der Support für Calico Richtlinien auf AKS Arc gilt nur für Linux Container und wird As-Is unterstützt. |
| 5 | Die Kommunikation zwischen integrierten Kubernetes-Komponenten von AKS auf Windows Server, einschließlich der Kommunikation zwischen dem API-Server und dem Containerhost, wird über Zertifikate verschlüsselt. AKS bietet eine sofort einsatzbereite Zertifikatbereitstellung, Erneuerung und Sperrung für integrierte Zertifikate. |
| 6 | Die Kommunikation mit dem API-Server von Windows Client Maschinen aus wird durch Anmeldeinformationen für Benutzer von Microsoft Entra gesichert. |
| 7 | Für jede Version stellt Microsoft die VHDs für AKS-VMs unter Windows Server bereit und wendet bei Bedarf die entsprechenden Sicherheitspatches an. |
Anwendungssicherheit
In der folgenden Tabelle werden die verschiedenen Anwendungssicherheitsoptionen beschrieben, die in AKS unter Windows Server verfügbar sind:
Hinweis
Sie haben die Möglichkeit, die im Open-Source-Ökosystem Ihrer Wahl verfügbaren Optionen zur Anwendungssicherung zu nutzen.
| Option | Beschreibung |
|---|---|
| Buildsicherheit | Durch sichere Builds soll verhindert werden, dass beim Generieren von Images im Anwendungscode oder in den Containerimages Sicherheitsrisiken entstehen. Die Integration mit Azure GitOps von Kubernetes, das Azure Arc-fähig ist, hilft bei der Analyse und Beobachtung, was den Entwicklern die Möglichkeit gibt, Sicherheitsprobleme zu beheben. Weitere Informationen finden Sie unter Bereitstellen von Konfigurationen mithilfe von GitOps in Azure Arc-fähigen Kubernetes-Clustern. |
| Sicherheit der Containerregistrierung | Durch sichere Containerregistrierungen soll sichergestellt werden, dass beim Hochladen von Containerimages in die Registrierung (und beim Imagedownload aus der Registrierung) keine Sicherheitsrisiken eingeführt werden, während das Image in der Registrierung gespeichert wird. AKS empfiehlt die Verwendung von Azure Container Registry. Azure Container Registry verfügt über Schwachstellen-Scans und andere Sicherheitsfunktionen. Weitere Informationen finden Sie unter Azure Container Registry – Dokumentation. |
| Microsoft Entra-Identitäten für Windows-Workloads mit gMSA für Container | Windows-Containerworkloads können die Identität des Containerhosts erben und zur Authentifizierung verwenden. Mit den neuen Erweiterungen muss der Container Host nicht mehr Domäne angehört werden. Weitere Informationen finden Sie unter gMSA-Integration für Windows-Workloads. |
Integrierte Sicherheitsfunktionen
In diesem Abschnitt werden die integrierten Sicherheitsfeatures beschrieben, die derzeit in AKS unter Windows Server verfügbar sind:
| Sicherheitsziel | Funktion |
|---|---|
| Schutz des Zugriffs auf den API-Server. | Active Directory-Einmalanmeldung-Support für PowerShell- und Windows Admin Center-Clients. Dieses Feature ist derzeit nur für Workloadcluster aktiviert. |
| Stellen Sie sicher, dass die gesamte Kommunikation zwischen den integrierten Kubernetes-Komponenten der Steuerungsebene sicher ist. Dies bedeutet, dass auch die Kommunikation zwischen dem API-Server und dem Workloadcluster sicher sein muss. | Integrierte Zero-Touch-Zertifikatlösung zum Bereitstellen, Erneuern und Widerrufen von Zertifikaten. Weitere Informationen finden Sie unter Sichere Kommunikation mit Zertifikaten. |
| Rotieren Sie die Verschlüsselungsschlüssel des Kubernetes-Geheimnisspeichers (etcd) mithilfe des KMS-Plug-Ins (Schlüsselverwaltungserver). | Plug-In für die Integration und Umsetzung der Schlüsselrotation mit dem betreffenden KMS-Anbieter. Weitere Informationen finden Sie unter Verschlüsseln von etcd-Geheimnissen. |
| Bedrohungsüberwachung in Echtzeit für Container, die Workloads für Windows- und Linux-Container unterstützen. | Integration mit Azure Defender für Kubernetes verbunden mit Azure Arc, das als öffentliche Previewfunktion angeboten wird, bis die GA-Version der Kubernetes-Bedrohungserkennung für Kubernetes mit Azure Arc verbunden ist. Weitere Informationen finden Sie unter Schützen von Kubernetes-Clustern mit Azure Arc-Unterstützung. |
| Microsoft Entra Identität für Windows Workloads. | Verwenden Sie gMSA Integration für Windows Workloads, um die Microsoft Entra Identität zu konfigurieren. |
| Support für Calico-Richtlinien zum Schutz des Datenverkehrs zwischen Pods | Container kommunizieren über ein Überlagerungsnetzwerk miteinander. Administratoren können Calico-Richtlinien konfigurieren, um Netzwerkisolationsregeln zwischen Containern zu definieren. Der Support für Calico Richtlinien auf AKS Arc gilt nur für Linux Container und wird As-Is unterstützt. |
Nächste Schritte
In diesem Artikel haben Sie die Konzepte zum Sichern von AKS auf Windows Server und zum Sichern von Anwendungen auf Kubernetes-Clustern kennengelernt.