Sécurité des clusters et des applications

Familiarisez-vous avec les principes de base de la sécurité de Kubernetes et passez en revue la configuration sécurisée des clusters et les conseils en matière de sécurité des applications. La sécurité Kubernetes est importante tout au long du cycle de vie des conteneurs en raison de la nature dynamique et distribuée des clusters Kubernetes. Le degré de sécurité d’une application est déterminé par le maillon le plus faible de la chaîne de services composant l’application.

Planifier, former et vérifier

Lorsque vous commencerez, la check-list des fonctions essentielles de sécurité et les ressources de sécurité Kubernetes ci-dessous vous aideront à planifier les opérations de cluster et la sécurité des applications. À la fin de cette section, vous serez en mesure de répondre à ces questions :

• Avez-vous examiné le modèle de sécurité et de menaces des clusters Kubernetes ?
• Votre cluster est-il activé pour le contrôle d’accès en fonction du rôle Kubernetes ?

Check-list de sécurité :

• Familiarisez-vous avec le livre blanc sur les principes de base de la sécurité. Les objectifs principaux d’un environnement Kubernetes sécurisé consistent à s’assurer que les applications qu’il exécute sont protégées, que les problèmes de sécurité peuvent être identifiés et résolus rapidement, et que les futurs problèmes similaires seront évités. Pour plus d’informations, consultez The Definitive Guide to Securing Kubernetes (livre blanc).

• Passez en revue la configuration du durcissement de la sécurité pour les nœuds de cluster. Un système d’exploitation hôte à la sécurité durcie réduit la surface d’exposition aux attaques et permet de déployer des conteneurs en toute sécurité. Pour en savoir plus, consultez Durcissement de la sécurité des hôtes de machines virtuelles AKS.

• Configurer le contrôle d’accès en fonction du rôle Kubernetes de cluster (RBAC Kubernetes). Ce mécanisme de contrôle vous permet d’affecter à des utilisateurs ou à des groupes d’utilisateurs, l’autorisation d’accomplir des opérations, telles que la création ou la modification de ressources, ou encore l’affichage de journaux d’activité à partir de charges de travail d’applications en cours d’exécution.

  Pour plus d'informations, consultez la rubrique

  • Comprendre le contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes) (vidéo)
    
  • Intégrer Microsoft Entra ID à Azure Kubernetes Service
    
  • Limiter l’accès au fichier de configuration de cluster

Déployer en production et appliquer les bonnes pratiques relatives à la sécurité Kubernetes

Lors de la préparation de l’application pour la production, implémentez un ensemble minimal de bonnes pratiques. Utilisez cette check-list pour cette phase. À la fin de cette section, vous serez en mesure de répondre à ces questions :

• Avez-vous configuré des règles de sécurité réseau pour les communications entrantes, sortantes et intra-pods ?
• Votre cluster est-il configuré pour appliquer automatiquement les mises à jour de sécurité de nœud ?
• Exécutez-vous une solution d’analyse de la sécurité pour vos services de cluster et de conteneur ?

Check-list de sécurité :

• Contrôlez l’accès aux clusters à l’aide de l’appartenance à un groupe. Configurez le contrôle d’accès en fonction du rôle de Kubernetes (RBAC Kubernetes) pour limiter l’accès aux ressources de cluster en fonction de l’identité ou de l’appartenance de groupe de l’utilisateur. Pour plus d’informations, consultez Contrôler l’accès aux ressources de cluster à l’aide du RBAC Kubernetes et d’identités Microsoft Entra.

• Créez une stratégie de gestion des secrets. Déployez et gérez en toute sécurité des informations sensibles, telles que des mots de passe et des certificats, à l’aide de la gestion des secrets dans Kubernetes. Pour plus d’informations, consultez Comprendre la gestion des secrets dans Kubernetes (vidéo).

• Sécurisez le trafic réseau entre les pods avec des stratégies réseau. Appliquez le principe du privilège minimum pour contrôler le flux du trafic réseau entre les pods du cluster. Pour plus d’informations, consultez Sécuriser le trafic entre les pods avec des stratégies réseau.

• Limitez l’accès au serveur d’API à l’aide d’adresses IP autorisées. Améliorez la sécurité du cluster et réduisez la surface d’attaque en limitant l’accès au serveur d’API à un ensemble limité de plages d’adresses IP. Pour plus d’informations, consultez Sécuriser l’accès au serveur d’API.

• Limitez le trafic de sortie du cluster. Découvrez les ports et adresses à autoriser pour limiter le trafic de sortie du cluster. Vous pouvez utiliser le Pare-feu Azure ou une appliance de pare-feu tierce pour sécuriser votre trafic de sortie et définir ces ports et adresses requis. Pour en savoir plus, consultez Contrôler le trafic de sortie pour les nœuds de cluster dans AKS.

• Sécurisez le trafic avec un pare-feu d’applications web (WAF). Utilisez Azure Application Gateway comme contrôleur d’entrée pour les clusters Kubernetes. Pour plus d’informations, consultez Configurer Azure Application Gateway comme contrôleur d’entrée.

• Appliquez des mises à jour de sécurité et de noyau aux nœuds Worker. Familiarisez-vous avec l’expérience de mise à jour des nœuds AKS Pour protéger vos clusters, les mises à jour de sécurité sont appliquées automatiquement aux nœuds Linux dans AKS. Ces mises à jour incluent des correctifs de sécurité ou des mises à jour du noyau. Certaines de ces mises à jour nécessitent un redémarrage du nœud pour terminer le processus. Pour en savoir plus, consultez Utiliser kured afin de redémarrer automatiquement les nœuds pour appliquer les mises à jour.

• Configurez une solution d’analyse de conteneur et de cluster. Analysez les conteneurs envoyés dans Azure Container Registry et obtenez une visibilité accrue des nœuds de cluster, du trafic cloud et des contrôles de sécurité.

  Pour plus d'informations, consultez les pages suivantes :

  • Intégration d’Azure Container Registry à Defender pour le cloud
    
  • Intégration d’Azure Kubernetes Service à Defender pour le cloud

Optimiser et mettre à l’échelle

Maintenant que l’application est en production, comment faire pour optimiser votre workflow et préparer votre application et votre équipe pour la mise à l’échelle ? Utilisez la liste de contrôle d’optimisation et de mise à l’échelle pour vous préparer. À la fin de cette section, vous serez en mesure de répondre à cette question :

• Pouvez-vous appliquer des stratégies de gouvernance et de cluster à grande échelle ?

Check-list de sécurité :

• Appliquez des stratégies de gouvernance du cluster. Appliquez une mise en œuvre et une protection à grande échelle sur vos clusters, de manière centralisée et cohérente. Pour en savoir plus, consultez Contrôler les déploiements avec Azure Policy.

• Faites permuter régulièrement les certificats de cluster. Kubernetes utilise des certificats pour l’authentification avec un grand nombre de ses composants. Vous pouvez effectuer périodiquement une rotation de ces certificats pour des raisons de sécurité ou de stratégie. Pour en savoir plus, consultez Effectuer une rotation des certificats dans Azure Kubernetes Service (AKS).