Ajánlott eljárások a tárolórendszerképek kezeléséhez és biztonságához az Azure Kubernetes Service-ben (AKS)
A tároló- és tárolórendszerkép-biztonság az Azure Kubernetes Service-ben (AKS) futó alkalmazások fejlesztésekor és futtatásakor kiemelt fontosságú. Az elavult alaplemezképekkel vagy nem átcsomagolt alkalmazás-futtatókörnyezetekkel rendelkező tárolók biztonsági kockázatokat és lehetséges támadási vektorokat jelentenek. Ezeket a kockázatokat minimálisra csökkentheti, ha a buildeléskor és futásidőben integrálja és futtatja a tárolókban a vizsgálati és szervizelési eszközöket. Minél korábban észleli a biztonsági rést vagy az elavult alaprendszerképet, annál biztonságosabb az alkalmazás.
Ebben a cikkben a "tárolók" a tárolóregisztrációs adatbázisban tárolt és a tárolókat futtató tárolólemezképekre egyaránt vonatkoznak.
Ez a cikk a tárolók AKS-ben való védelmére összpontosít. Az alábbiak végrehajtásának módját ismerheti meg:
- A rendszerkép biztonsági réseinek keresése és elhárításuk.
- Tárolórendszerképek automatikus aktiválása és ismételt üzembe helyezése alaprendszerkép frissítésekor.
- A fürtbiztonságra és a pod biztonságára vonatkozó ajánlott eljárásokat olvashatja el.
- A Tárolóbiztonság Felhőhöz készült Defender használatával biztonsági réseket kereshet a tárolókban. Az Azure Container Registry integrációja Felhőhöz készült Defender segít megvédeni a rendszerképeket és a beállításjegyzéket a biztonsági résektől.
A rendszerképek és a futtatókörnyezet védelme
Ajánlott eljárások útmutatója
- Ellenőrizze a tárolólemezképek biztonsági réseit.
- Csak érvényesített rendszerképek üzembe helyezése.
- Rendszeresen frissítse az alaprendszerképeket és az alkalmazás futtatókörnyezetét.
- Számítási feladatok ismételt üzembe helyezése az AKS-fürtben.
Tárolóalapú számítási feladatok bevezetésekor ellenőriznie kell a saját alkalmazások létrehozásához használt rendszerképek és futtatókörnyezetek biztonságát. A biztonsági rések központi telepítésekben való bevezetésének elkerülése érdekében az alábbi ajánlott eljárásokat használhatja:
- Az üzembehelyezési munkafolyamatba belefoglalhat egy folyamatot a tárolólemezképek eszközökkel, például a Twistlock vagy az Aqua használatával történő vizsgálatához.
- Csak ellenőrzött rendszerképek üzembe helyezésének engedélyezése.
Egy folyamatos integrációs és folyamatos üzembe helyezési (CI/CD) folyamat használatával automatizálhatja a rendszerképek vizsgálatát, ellenőrzését és üzembe helyezését. Az Azure Container Registry ezeket a biztonsági réseket vizsgálja.
Új rendszerképek automatikus létrehozása az alaprendszerkép-frissítéshez
Ajánlott eljárások útmutatója
Amikor alaprendszerképeket használ az alkalmazásképekhez, az automation használatával új rendszerképeket hozhat létre az alaprendszerkép frissítésekor. Mivel a frissített alaprendszerképek általában biztonsági javításokat tartalmaznak, frissítse az alsóbb rétegbeli alkalmazástároló lemezképeit.
Minden alkalommal, amikor egy alaprendszerkép frissül, frissítenie kell az alsóbb rétegbeli tárolórendszerképeket is. Integrálja ezt a buildelési folyamatot olyan ellenőrzési és üzembehelyezési folyamatokba, mint az Azure Pipelines vagy a Jenkins. Ezek a folyamatok biztosítják, hogy az alkalmazások továbbra is a frissített rendszerképeken fussanak. Az alkalmazástároló lemezképeinek ellenőrzése után frissítheti az AKS-üzemelő példányokat a legújabb biztonságos rendszerképek futtatásához.
Az Azure Container Registry Tasks automatikusan frissítheti a tárolórendszerképeket az alaprendszerkép frissítésekor. Ezzel a funkcióval létrehozhat néhány alaprendszerképet, és folyamatosan frissítheti őket hiba- és biztonsági javításokkal.
Az alaprendszerkép-frissítésekkel kapcsolatos további információkért lásd : Rendszerképek buildjeinek automatizálása alaprendszerkép-frissítésre az Azure Container Registry Tasks használatával.
Következő lépések
Ez a cikk a tárolók védelmére összpontosított. Ezen területek némelyikének implementálásához tekintse meg a következő cikket:
Azure Kubernetes Service