Megosztás a következőn keresztül:


Ajánlott eljárások a tárolórendszerképek kezeléséhez és biztonságához az Azure Kubernetes Service-ben (AKS)

A tároló- és tárolórendszerkép-biztonság az Azure Kubernetes Service-ben (AKS) futó alkalmazások fejlesztésekor és futtatásakor kiemelt fontosságú. Az elavult alaplemezképekkel vagy nem átcsomagolt alkalmazás-futtatókörnyezetekkel rendelkező tárolók biztonsági kockázatokat és lehetséges támadási vektorokat jelentenek. Ezeket a kockázatokat minimálisra csökkentheti, ha a buildeléskor és futásidőben integrálja és futtatja a tárolókban a vizsgálati és szervizelési eszközöket. Minél korábban észleli a biztonsági rést vagy az elavult alaprendszerképet, annál biztonságosabb az alkalmazás.

Ebben a cikkben a "tárolók" a tárolóregisztrációs adatbázisban tárolt és a tárolókat futtató tárolólemezképekre egyaránt vonatkoznak.

Ez a cikk a tárolók AKS-ben való védelmére összpontosít. Az alábbiak végrehajtásának módját ismerheti meg:

  • A rendszerkép biztonsági réseinek keresése és elhárításuk.
  • Tárolórendszerképek automatikus aktiválása és ismételt üzembe helyezése alaprendszerkép frissítésekor.

A rendszerképek és a futtatókörnyezet védelme

Ajánlott eljárások útmutatója

  • Ellenőrizze a tárolólemezképek biztonsági réseit.
  • Csak érvényesített rendszerképek üzembe helyezése.
  • Rendszeresen frissítse az alaprendszerképeket és az alkalmazás futtatókörnyezetét.
  • Számítási feladatok ismételt üzembe helyezése az AKS-fürtben.

Tárolóalapú számítási feladatok bevezetésekor ellenőriznie kell a saját alkalmazások létrehozásához használt rendszerképek és futtatókörnyezetek biztonságát. A biztonsági rések központi telepítésekben való bevezetésének elkerülése érdekében az alábbi ajánlott eljárásokat használhatja:

  • Az üzembehelyezési munkafolyamatba belefoglalhat egy folyamatot a tárolólemezképek eszközökkel, például a Twistlock vagy az Aqua használatával történő vizsgálatához.
  • Csak ellenőrzött rendszerképek üzembe helyezésének engedélyezése.

Tárolólemezképek vizsgálata és szervizelése, ellenőrzése és üzembe helyezése

Egy folyamatos integrációs és folyamatos üzembe helyezési (CI/CD) folyamat használatával automatizálhatja a rendszerképek vizsgálatát, ellenőrzését és üzembe helyezését. Az Azure Container Registry ezeket a biztonsági réseket vizsgálja.

Új rendszerképek automatikus létrehozása az alaprendszerkép-frissítéshez

Ajánlott eljárások útmutatója

Amikor alaprendszerképeket használ az alkalmazásképekhez, az automation használatával új rendszerképeket hozhat létre az alaprendszerkép frissítésekor. Mivel a frissített alaprendszerképek általában biztonsági javításokat tartalmaznak, frissítse az alsóbb rétegbeli alkalmazástároló lemezképeit.

Minden alkalommal, amikor egy alaprendszerkép frissül, frissítenie kell az alsóbb rétegbeli tárolórendszerképeket is. Integrálja ezt a buildelési folyamatot olyan ellenőrzési és üzembehelyezési folyamatokba, mint az Azure Pipelines vagy a Jenkins. Ezek a folyamatok biztosítják, hogy az alkalmazások továbbra is a frissített rendszerképeken fussanak. Az alkalmazástároló lemezképeinek ellenőrzése után frissítheti az AKS-üzemelő példányokat a legújabb biztonságos rendszerképek futtatásához.

Az Azure Container Registry Tasks automatikusan frissítheti a tárolórendszerképeket az alaprendszerkép frissítésekor. Ezzel a funkcióval létrehozhat néhány alaprendszerképet, és folyamatosan frissítheti őket hiba- és biztonsági javításokkal.

Az alaprendszerkép-frissítésekkel kapcsolatos további információkért lásd : Rendszerképek buildjeinek automatizálása alaprendszerkép-frissítésre az Azure Container Registry Tasks használatával.

Következő lépések

Ez a cikk a tárolók védelmére összpontosított. Ezen területek némelyikének implementálásához tekintse meg a következő cikket: