Cluster- und Anwendungssicherheit

Machen Sie sich mit Kubernetes-Sicherheitsgrundlagen vertraut und überprüfen Sie das sichere Setup für Cluster sowie die Anleitung zur Anwendungssicherheit. Kubernetes-Sicherheit ist aufgrund der verteilten, dynamischen Natur eines Kubernetes-Clusters während des gesamten Containerlebenszyklus wichtig. Anwendungen sind nur so sicher wie die schwächste Verbindung in der Dienstleistungskette, die die Sicherheit der Anwendung umfasst.

Planen, Trainieren und Nachweis

Wie Sie beginnen, helfen Ihnen die Prüfliste für Sicherheitsgrundsätze und Kubernetes-Sicherheitsressourcen unten bei der Planung von Clustervorgängen und Anwendungssicherheit. Am Ende dieses Abschnitts können Sie diese Fragen beantworten:

• Haben Sie das Sicherheits- und Bedrohungsmodell von Kubernetes-Clustern überprüft?
• Ist Ihr Cluster für kubernetes rollenbasierte Zugriffssteuerung aktiviert?

Sicherheitscheckliste:

• Machen Sie sich mit dem Whitepaper "Security Essentials" vertraut. Die Hauptziele einer sicheren Kubernetes-Umgebung stellen sicher, dass die ausgeführten Anwendungen geschützt sind, dass Sicherheitsprobleme schnell identifiziert und behoben werden können und dass zukünftige ähnliche Probleme verhindert werden. Weitere Informationen finden Sie unter The Definitive Guide to Securing Kubernetes (Whitepaper).

• Überprüfen Sie die Sicherheitshärtungseinrichtung für die Clusterknoten. Ein gehärtetes Sicherheitsbetriebssystem reduziert den Angriffsbereich und ermöglicht die sichere Bereitstellung von Containern. Weitere Informationen finden Sie unter "Sicherheitshärtung" auf virtuellen AKS-Computerhosts.

• Richten Sie die rollenbasierten Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) für den Cluster ein. Mit diesem Kontrollmechanismus können Sie Benutzern oder Benutzergruppen Berechtigungen zum Erstellen oder Ändern von Ressourcen zuweisen oder Protokolle aus ausgeführten Anwendungsworkloads anzeigen.

  Weitere Informationen finden Sie unter

  • Verständnis der rollenbasierten Zugriffssteuerung in Kubernetes (Kubernetes RBAC) (Video)
    
  • Integrieren von Microsoft Entra ID in Azure Kubernetes Service
    
  • Einschränken des Zugriffs auf die Clusterkonfigurationsdatei

In Produktion bereitstellen und bewährte Methoden zur Verbesserung der Kubernetes-Sicherheit anwenden

Wenn Sie die Anwendung für die Produktion vorbereiten, implementieren Sie eine Mindestmenge an bewährten Methoden. Verwenden Sie diese Checkliste in dieser Phase. Am Ende dieses Abschnitts können Sie diese Fragen beantworten:

• Haben Sie Netzwerksicherheitsregeln für die eingehende, ausgehende und Pod-interne Kommunikation eingerichtet?
• Ist Ihr Cluster so eingerichtet, dass Knoten-Sicherheitsupdates automatisch angewendet werden?
• Führen Sie eine Sicherheitsüberprüfungslösung für Ihre Cluster- und Containerdienste aus?

Sicherheitscheckliste:

• Steuern des Zugriffs auf Cluster mithilfe der Gruppenmitgliedschaft. Konfigurieren Sie kubernetes rollenbasierte Zugriffssteuerung (Kubernetes RBAC), um den Zugriff auf Clusterressourcen basierend auf der Benutzeridentität oder Gruppenmitgliedschaft einzuschränken. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Clusterressourcen mithilfe von Kubernetes RBAC und Microsoft Entra-Identitäten.

• Erstellen Sie eine Richtlinie für die geheime Verwaltung. Sichere Bereitstellung und Verwaltung vertraulicher Informationen, z. B. Kennwörter und Zertifikate, mithilfe der geheimen Verwaltung in Kubernetes. Weitere Informationen finden Sie unter "Grundlegendes zur Geheimen Verwaltung" in Kubernetes (Video).For more information, see Understand secrets management in Kubernetes (video).

• Sichern Sie den Pod-internen Netzwerkverkehr mit Netzwerkrichtlinien. Wenden Sie das Prinzip der geringsten Berechtigungen an, um den Netzwerkdatenverkehr zwischen Pods im Cluster zu steuern. Weitere Informationen finden Sie unter Absichern des Verkehrs innerhalb von Pods mit Netzwerkrichtlinien.

• Einschränken des Zugriffs auf den API-Server mithilfe autorisierter IPs. Verbessern Sie die Clustersicherheit und minimieren Sie die Angriffsfläche, indem Sie den Zugriff auf den API-Server auf einen begrenzten Satz von IP-Adressbereichen beschränken. Weitere Informationen finden Sie unter "Sicherer Zugriff auf den API-Server".

• Beschränken Sie ausgehenden Datenverkehr eines Clusters. Erfahren Sie, welche Ports und Adressen Sie zulassen sollten, wenn Sie den ausgehenden Datenverkehr für den Cluster beschränken. Sie können Azure Firewall oder eine Firewall-Appliance eines Drittanbieters verwenden, um Ihren Ausgehenden Datenverkehr zu sichern und diese erforderlichen Ports und Adressen zu definieren. Weitere Informationen finden Sie unter Steuern des Ausgehenden Datenverkehrs für Clusterknoten in AKS.

• Sicherer Datenverkehr mit der Webanwendungsfirewall (WAF). Verwenden Sie Das Azure-Anwendungsgateway als Eingangscontroller für Kubernetes-Cluster. Weitere Informationen finden Sie unter Konfigurieren des Azure-Anwendungsgateways als Eingangscontroller.

• Wenden Sie Sicherheits- und Kernelupdates auf Arbeitsknoten an. Grundlegendes zur Umgebung für AKS-Knotenupdates. Sicherheitsupdates werden automatisch auf Linux-Knoten in AKS angewendet, um Ihre Cluster zu schützen. Diese Updates enthalten Sicherheitsfixes für das Betriebssystem oder Kernelupdates. Einige dieser Updates erfordern den Neustart eines Knotens, um den Vorgang abzuschließen. Weitere Informationen finden Sie unter "Verwenden von Kured", um Knoten automatisch neu zu starten, um Updates anzuwenden.

• Konfigurieren Sie eine Container- und Clusterscanlösung. Scannen Sie Container, die in die Azure-Containerregistrierung verschoben wurden, und erhalten Sie tiefere Einblicke in Ihre Clusterknoten, Clouddatenverkehr und Sicherheitskontrollen.

  Weitere Informationen finden Sie unter:

  • Integration der Azure-Containerregistrierung in Defender für Cloud
    
  • Azure Kubernetes Service-Integration mit Defender for Cloud

Optimieren und Skalieren

Nachdem sich die Anwendung in der Produktion befindet, wie können Sie Ihren Workflow optimieren und Ihre Anwendung und Ihr Team auf die Skalierung vorbereiten? Verwenden Sie die Checkliste zur Optimierung und Skalierung, um sie vorzubereiten. Am Ende dieses Abschnitts können Sie diese Frage beantworten:

• Können Sie Governance- und Clusterrichtlinien in großem Umfang erzwingen?

Sicherheitscheckliste:

• Durchsetzung von Cluster-Governance-Richtlinien. Wenden Sie skalierte Durchsetzungen und Sicherheitsvorkehrungen auf Ihre Cluster auf eine zentralisierte, konsistente Weise an. Weitere Informationen finden Sie unter Steuern von Bereitstellungen mit Azure-Richtlinie.

• Rotieren Sie Clusterzertifikate regelmäßig. Kubernetes verwendet Zertifikate für die Authentifizierung mit vielen seiner Komponenten. Möglicherweise möchten Sie diese Zertifikate aus Sicherheits- oder Richtliniengründen regelmäßig drehen. Weitere Informationen finden Sie unter Drehen von Zertifikaten in Azure Kubernetes Service (AKS).