Integrierte Richtlinien für AKS
Nachdem Sie nun einen Azure Kubernetes Service-Cluster (AKS) mit aktivierten Richtlinien-Add-Ons erstellt haben, müssen Sie die Richtliniendefinitionen finden, die Sie Ihrer Umgebung zuweisen möchten. In diesem Abschnitt erfahren Sie, wie Sie Richtlinien suchen. Im nächsten Abschnitt wird ein Beispiel zum Zuweisen dieser Richtlinien erläutert.
Typen von Azure-Richtlinien für AKS
Es gibt zwei Typen von Azure-Richtlinien, die auf AKS angewendet werden können: Clusterrichtlinien oder Workloadrichtlinien.
Clusterrichtlinien decken den Cluster selbst ab, nicht die Workload, die im Cluster ausgeführt wird. Sie konfigurieren diese Richtlinien, um die Clusterkonfiguration zu erzwingen. Beispiele für diese Richtlinien sind In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden und Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden.
Workloadrichtlinien decken die Anwendungen ab, die in Ihrem Cluster ausgeführt werden. Workloadrichtlinien werden verwendet, um die Konfiguration innerhalb des Kubernetes-Clusters zu erzwingen. Diese Richtlinien basieren darauf, dass das Azure-Richtlinien-Add-On für Kubernetes ordnungsgemäß funktioniert. Beispiele für diese Richtlinien sind Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden und Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden.
Es ist hilfreich, die Azure-Richtlinien für Kubernetes auf diese Weise zu betrachten. Sie ermöglichen es Ihnen, zwischen Richtlinien, die sich auf den Cluster auswirken, und denen für die im Cluster ausgeführte Anwendung zu unterscheiden. Es ist zu beachten, dass diese verschiedenen Richtlinientypen während der Richtlinienermittlung nicht unterschieden werden.
Suchen integrierter Azure-Richtlinien für Kubernetes
Es gibt zwei Möglichkeiten, integrierte Azure-Richtlinien für Kubernetes zu suchen:
- Verwenden Sie dazu die Azure-Dokumentation, in der die integrierten Richtlinien beschrieben werden.
- Wecheln Sie im Bereich „Azure-Richtlinie“ im Azure-Portal zu „Definitionen“ und filtern Sie nach der Kategorie Kubernetes.
Sie können Ihren Verwaltungsgruppen, Abonnements oder Ressourcengruppen eine oder mehrere dieser Richtliniendefinitionen zuweisen. In der nächsten Einheit führen Sie eine Übung durch, in der Sie Schritt für Schritt die Vorgehensweise durchgehen.
Richtlinieninitiative: Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods bei Linux-basierten Workloads
Azure Policy für Kubernetes verfügt auch über mehrere Richtlinieninitiativen. Eine Richtlinieninitiative ist eine Sammlung von Richtliniendefinitionen. Zwei der Initiativen für Kubernetes sind:
- Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads
- Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads
Die Baselineversion enthält fünf Richtliniendefinitionen, die sich auf die Bereitstellung einer Sicherheitsbaseline für Ihre Kubernetes-Workloads konzentrieren. Die eingeschränkte Version umfasst insgesamt acht Richtliniendefinitionen für Umgebungen mit mehr Sicherheitseinschränkungen.
Sie können diese Initiativen Ihren Azure-Verwaltungsgruppen, Abonnements oder Ressourcengruppen mit einem AKS-Cluster zuweisen, um eine konsistente Sicherheitsbaseline zu erzwingen.