Az Azure Arc által engedélyezett AKS biztonsági fogalmai
A következőkre vonatkozik: AKS on Azure Stack HCI 22H2, AKS on Windows Server
Az Azure Arc által engedélyezett AKS-biztonság magában foglalja az infrastruktúra és a Kubernetes-fürtön futó alkalmazások védelmét. Az Arc által engedélyezett AKS támogatja az Azure Kubernetes Service (AKS) hibrid üzembehelyezési lehetőségeit. Ez a cikk a Kubernetes-fürtök infrastruktúrájának és alkalmazásainak védelméhez használt biztonsági intézkedéseket és beépített biztonsági funkciókat ismerteti.
Infrastruktúra biztonsága
Az Arc által engedélyezett AKS különböző biztonsági intézkedéseket alkalmaz az infrastruktúra védelmére. Az alábbi diagram a következő mértékeket emeli ki:
Az alábbi táblázat az Azure Stack HCI-n futó AKS biztonsági szempontból megkeményedő aspektusait ismerteti, amelyek az előző ábrán láthatók. Az AKS-üzemelő példány infrastruktúrájára vonatkozó elméleti háttérinformációkért tekintse meg a fürtöket és a számítási feladatokat.
| Biztonsági szempont | Leírás |
|---|---|
| 0 | Mivel az AKS-gazdagép hozzáfér az összes számítási feladathoz (célfürthöz), ez a fürt egyetlen biztonsági pont lehet. Az AKS-gazdagéphez való hozzáférés azonban gondosan szabályozott, mivel a felügyeleti fürt célja a számítási feladatok fürtjeinek kiépítésére és az összesített fürtmetrikák gyűjtésére korlátozódik. |
| 2 | Az üzembe helyezés költségeinek és összetettségének csökkentése érdekében a számítási feladatok fürtjei osztoznak az alapul szolgáló Windows Serveren. A biztonsági igényektől függően azonban a rendszergazdák dönthetnek úgy, hogy egy számítási feladatokat tartalmazó fürtöt helyeznek üzembe egy dedikált Windows Serveren. Amikor a számítási feladatfürtök megosztják a mögöttes Windows Servert, minden fürt virtuális gépként lesz üzembe helyezve, ami biztosítja a számítási feladatok fürtjei közötti erős elkülönítési garanciákat. |
| 3 | Az ügyfél számítási feladatai tárolóként vannak üzembe helyezve, és ugyanazon a virtuális gépen osztoznak. A tárolók egymástól folyamatelkülönítéssel vannak elszigetelve, ami az elkülönítés egy gyengébb formája a virtuális gépek által kínált erős elkülönítési garanciákhoz képest. |
| 4 | A tárolók átfedéses hálózaton keresztül kommunikálnak egymással. A rendszergazdák calico-házirendeket konfigurálhatnak a tárolók közötti hálózatelkülönítési szabályok meghatározásához. Az AKS Arc Calico-szabályzatának támogatása csak Linux-tárolókhoz használható, és jelenleg is támogatott. |
| 5 | Az Azure Stack HCI-n futó AKS beépített Kubernetes-összetevői közötti kommunikáció, beleértve az API-kiszolgáló és a tárológazda közötti kommunikációt, tanúsítványokon keresztül titkosítva van. Az AKS a beépített tanúsítványokhoz beépített tanúsítványkiépítést, -megújítást és -visszavonást kínál. |
| 6 | A Windows-ügyfélszámítógépek API-kiszolgálójával való kommunikációt a Microsoft Entra hitelesítő adatai védik a felhasználók számára. |
| 7 | A Microsoft minden kiadáshoz biztosítja az AKS-beli virtuális gépek virtuális merevlemezeit az Azure Stack HCI-n, és szükség esetén alkalmazza a megfelelő biztonsági javításokat. |
Alkalmazások biztonsága
Az alábbi táblázat az Arc által engedélyezett AKS-ben elérhető különböző alkalmazásbiztonsági beállításokat ismerteti:
Feljegyzés
A választott nyílt forráskód ökoszisztémában elérhető nyílt forráskód alkalmazáskeményítési lehetőségeket használhatja.
| Lehetőség | Leírás |
|---|---|
| Biztonság kiépítése | A buildek biztonságossá tételének célja, hogy megakadályozza a biztonsági rések bevezetését az alkalmazáskódban vagy a tárolórendszerképekben a rendszerképek létrehozásakor. Az Azure Arc-kompatibilis Kubernetes Azure GitOps-jával való integráció segít az elemzésben és a megfigyelésben, ami lehetővé teszi a fejlesztők számára a biztonsági problémák megoldását. További információ: Konfigurációk üzembe helyezése a GitOps használatával egy Azure Arc-kompatibilis Kubernetes-fürtön. |
| Tárolóregisztrációs adatbázis biztonsága | A tárolóregisztrációs adatbázis biztonságának célja annak biztosítása, hogy a tárolórendszerképek a beállításjegyzékbe való feltöltésekor ne legyenek biztonsági rések, miközben a rendszerkép a beállításjegyzékben és a beállításjegyzékből való képletöltések során van tárolva. Az AKS az Azure Container Registry használatát javasolja. Az Azure Container Registry biztonsági rések vizsgálatával és egyéb biztonsági funkciókkal rendelkezik. További információkért tekintse meg az Azure Container Registry dokumentációját. |
| Microsoft Entra-identitások Windows-számítási feladatokhoz a gMSA tárolókhoz való használatával | A Windows-tároló számítási feladatai örökölhetik a tároló gazdagép identitását, és ezt használhatják hitelesítésre. Az új fejlesztéseknek megfelelően a tároló gazdagépnek nem kell tartományhoz csatlakoznia. További információ: gMSA-integráció Windows-számítási feladatokhoz. |
Beépített biztonsági funkciók
Ez a szakasz az Azure Arc által engedélyezett AKS-ben jelenleg elérhető beépített biztonsági funkciókat ismerteti:
| Biztonsági célkitűzés | Szolgáltatás |
|---|---|
| Az API-kiszolgálóhoz való hozzáférés védelme. | Az Active Directory egyszeri bejelentkezés támogatása PowerShell- és Windows Felügyeleti központ-ügyfelek számára. Ez a funkció jelenleg csak számítási feladatfürtök esetén engedélyezett. |
| Győződjön meg arról, hogy a vezérlősík beépített Kubernetes-összetevői közötti kommunikáció biztonságos. Ez magában foglalja annak biztosítását, hogy az API-kiszolgáló és a számítási feladatfürt közötti kommunikáció is biztonságos legyen. | Nulla érintéses beépített tanúsítványmegoldás a tanúsítványok kiépítéséhez, megújításához és visszavonásához. További információ: Biztonságos kommunikáció tanúsítványokkal. |
| Forgassa el a Kubernetes titkos tár (stb.) titkosítási kulcsait a Key Management Server (KMS) beépülő modullal. | Beépülő modul a kulcsforgatás integrálható és vezénylhető a megadott KMS-szolgáltatóval. További információ: Titkos kulcsok titkosítása. |
| Valós idejű veszélyforrások monitorozása olyan tárolók esetében, amelyek windowsos és Linux rendszerű tárolók számítási feladatait is támogatják. | Integráció az Azure Archoz csatlakoztatott Azure Defender for Kubernetes szolgáltatással, amely nyilvános előzetes verzióként érhető el az Azure Archoz csatlakoztatott Kubernetes fenyegetésészlelésének GA-kiadásáig. További információ: Az Azure Arc-kompatibilis Kubernetes-fürtök védelme. |
| Microsoft Entra-identitás Windows-számítási feladatokhoz. | A Microsoft Entra-identitás konfigurálásához használja a windowsos számítási feladatok gMSA-integrációját. |
| Calico-szabályzatok támogatása a podok közötti forgalom védelméhez | A tárolók átfedéses hálózaton keresztül kommunikálnak egymással. A rendszergazdák calico-házirendeket konfigurálhatnak a tárolók közötti hálózatelkülönítési szabályok meghatározásához. Az AKS Arc Calico-szabályzatának támogatása csak Linux-tárolókhoz használható, és jelenleg is támogatott. |
Következő lépések
Ebben a témakörben megismerkedett az Azure Arc által engedélyezett AKS biztonságossá tételével és az alkalmazások Kubernetes-fürtökön való biztonságossá tételével kapcsolatos fogalmakkal.