Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: AKS en Windows Server
La seguridad en AKS en Windows Server implica proteger la infraestructura y las aplicaciones que se ejecutan en el clúster de Kubernetes. AKS en Windows Server admite opciones de implementación híbrida para Azure Kubernetes Service (AKS). En este artículo se describen las medidas de protección de seguridad y las características de seguridad integradas que se usan para proteger la infraestructura y las aplicaciones en clústeres de Kubernetes.
Seguridad de la infraestructura
AKS en Windows Server aplica varias medidas de seguridad para proteger su infraestructura. En el diagrama siguiente se resaltan estas medidas:
En la tabla siguiente se describen los aspectos de endurecimiento de seguridad de AKS en Windows Server que se muestran en el diagrama anterior. Para obtener información conceptual sobre la infraestructura de una implementación de AKS, consulte Clústeres y cargas de trabajo.
| Aspecto de seguridad | Descripción |
|---|---|
| 1 | Dado que el host de AKS tiene acceso a todos los clústeres de carga de trabajo (destino), este clúster puede ser un único punto de peligro. Sin embargo, el acceso al host de AKS se controla cuidadosamente, ya que el propósito del clúster de administración se limita al aprovisionamiento de clústeres de carga de trabajo y a la recopilación de métricas de clúster agregadas. |
| 2 | Para reducir el costo y la complejidad de la implementación, los clústeres de carga de trabajo comparten la instancia subyacente de Windows Server. Sin embargo, en función de las necesidades de seguridad, los administradores pueden optar por implementar un clúster de carga de trabajo en una instancia dedicada de Windows Server. Cuando los clústeres de carga de trabajo comparten la instancia subyacente de Windows Server, cada clúster se implementa como una máquina virtual, lo que asegura garantías de aislamiento sólidas entre los clústeres de carga de trabajo. |
| 3 | Las cargas de trabajo de los clientes se implementan como contenedores y comparten la misma máquina virtual. Los procesos de los contenedores están aislados entre sí, lo que es una forma más débil de aislamiento en comparación con las garantías de aislamiento sólidas que ofrecen las máquinas virtuales. |
| 4 | Los contenedores se comunican entre sí a través de una red de superposición. Los administradores pueden configurar directivas de Calico para definir reglas de aislamiento de red entre contenedores. El soporte de políticas de Calico en AKS Arc es solo para contenedores de Linux y se apoya tal como está. |
| 5 | La comunicación entre los componentes integrados de Kubernetes de AKS en Windows Server, incluida la comunicación entre el servidor de API y el host de contenedor, se cifra mediante certificados. AKS ofrece de serie un servicio de aprovisionamiento, renovación y revocación de certificados integrados. |
| 6 | La comunicación con el servidor de API desde máquinas cliente Windows se protege mediante credenciales de Microsoft Entra para los usuarios. |
| 7 | En cada versión, Microsoft incluye los VHD de las máquinas virtuales de AKS en Windows Server y aplica las revisiones de seguridad correspondiente cuando sea necesario. |
Seguridad de la aplicación
En la tabla siguiente se describen las distintas opciones de seguridad de aplicaciones disponibles en AKS en Windows Server:
Nota:
Tiene la opción de usar las opciones de protección de aplicaciones código abierto disponibles en el ecosistema de código abierto que elija.
| Opción | Descripción |
|---|---|
| Construir seguridad | El objetivo de la protección de compilaciones es evitar que se incluyan vulnerabilidades en el código de la aplicación o en las imágenes de contenedor cuando se generan las imágenes. La integración con Azure GitOps de Kubernetes, que está habilitada para Azure Arc, ayuda con el análisis y la observación, lo que ofrece a los desarrolladores la oportunidad de corregir problemas de seguridad. Para más información, consulte Implementación de configuraciones mediante GitOps en un clúster de Kubernetes habilitado para Azure Arc. |
| Seguridad del registro de contenedor | El objetivo de la seguridad del registro de contenedor es asegurarse de que no se incluyen vulnerabilidades al cargar imágenes de contenedor en el registro, mientras la imagen se almacena en el registro y durante las descargas de imágenes del registro. AKS recomienda usar Azure Container Registry. Azure Container Registry incluye análisis de vulnerabilidades y otras características de seguridad. Para más información, consulte la documentación de Azure Container Registry. |
| Identidades de Microsoft Entra de cargas de trabajo de Windows mediante gMSA para contenedores | Las cargas de trabajo de contenedor de Windows pueden heredar la identidad del host de contenedor y usarla para la autenticación. Con las nuevas mejoras, el host de contenedor no necesita estar unido a un dominio. Para obtener más información, consulte Integración de gMSA para cargas de trabajo de Windows. |
Características de seguridad integradas
En esta sección se describen las características de seguridad integradas que están disponibles actualmente en AKS en Windows Server:
| Objetivo de seguridad | Característica |
|---|---|
| Proteja el acceso al servidor de API. | Compatibilidad con el inicio de sesión único de Active Directory para los clientes de PowerShell y Windows Admin Center. Esta característica solo está habilitada actualmente para clústeres de carga de trabajo. |
| Asegúrese de que toda la comunicación entre los componentes integrados de Kubernetes del plano de control sea segura. Esto incluye asegurarse de que la comunicación entre el servidor de API y el clúster de carga de trabajo también es segura. | Solución de certificados sin intervención integrada para aprovisionar, renovar y revocar certificados. Para obtener más información, consulte Protección de la comunicación con certificados. |
| Haga girar las claves de cifrado del almacén de secretos de Kubernetes (etcd) mediante el complemento Servidor de administración de claves (KMS). | Complemento para integrar y orquestar la rotación de claves con el proveedor de KMS especificado. Para más información, consulte Cifrado de secretos etcd. |
| Supervisión de amenazas en tiempo real para contenedores que admiten cargas de trabajo para contenedores de Windows y Linux. | Integración con Azure Defender para Kubernetes conectado a Azure Arc, que se ofrece como una característica en versión preliminar pública hasta que la función de detección de amenazas de Kubernetes conectado a Azure Arc esté disponible de manera general. Para obtener más información, consulte Protección de clústeres de Kubernetes compatibles con Azure Arc. |
| Identidad de Microsoft Entra destinada a cargas de trabajo en Windows. | Usa la integración de gMSA para las cargas de trabajo de Windows para configurar la identidad de Microsoft Entra. |
| Compatibilidad con directivas de Calico para proteger el tráfico entre pods | Los contenedores se comunican entre sí a través de una red de superposición. Los administradores pueden configurar directivas de Calico para definir reglas de aislamiento de red entre contenedores. El soporte de políticas de Calico en AKS Arc es solo para contenedores de Linux y se apoya tal como está. |
Pasos siguientes
En este artículo, ha obtenido información sobre los conceptos para proteger AKS en Windows Server y sobre cómo proteger aplicaciones en clústeres de Kubernetes.