Ajánlott eljárások a tárolórendszerképek kezeléséhez és biztonságához Azure Kubernetes Service (AKS)
A tároló- és tárolórendszerképek biztonsága az alkalmazások Azure Kubernetes Service (AKS)beli fejlesztésekor és futtatásakor fontos prioritás. Az elavult alaprendszerképekkel vagy nem kicsomagolt alkalmazás-futtatókörnyezetekkel rendelkező tárolók biztonsági kockázatokat és lehetséges támadási vektorokat jelentenek. Ezeket a kockázatokat minimálisra csökkentheti, ha a buildelés és a futtatókörnyezet során integrálja és futtatja a vizsgálati és szervizelési eszközöket a tárolókban. Minél korábban észleli a biztonsági rést vagy az elavult alaprendszerképet, annál biztonságosabb az alkalmazás.
Ebben a cikkben a "tárolók" a tárolóregisztrációs adatbázisban tárolt és a tárolókat futtató tárolórendszerképekre egyaránt vonatkoznak.
Ez a cikk a tárolók AKS-ben történő védelmével foglalkozik. Az alábbiak végrehajtásának módját ismerheti meg:
- Képi biztonsági rések keresése és elhárítása.
- Tárolórendszerképek automatikus aktiválása és ismételt üzembe helyezése alaprendszerkép frissítésekor.
- Elolvashatja a fürtbiztonság és a podbiztonság ajánlott eljárásait.
- A Tárolóbiztonság a Defender for Cloudban segítségével megkeresheti a tárolók biztonsági réseit. Azure Container Registry a Defender for Cloud integrációja segít megvédeni a rendszerképeket és a beállításjegyzéket a biztonsági résekkel szemben.
A rendszerképek és a futtatókörnyezet védelme
Ajánlott eljárások útmutatója
- Tekintse át a tárolórendszerképeket a biztonsági rések keresése érdekében.
- Csak ellenőrzött rendszerképek üzembe helyezése.
- Rendszeresen frissítse az alaprendszerképeket és az alkalmazás futtatókörnyezetét.
- Számítási feladatok ismételt üzembe helyezése az AKS-fürtben.
A tárolóalapú számítási feladatok bevezetésekor ellenőrizni szeretné a saját alkalmazások létrehozásához használt rendszerképek és futtatókörnyezetek biztonságát. A biztonsági rések központi telepítésekbe való bevezetésének elkerülése érdekében az alábbi ajánlott eljárásokat használhatja:
- Az üzembe helyezési munkafolyamatba belefoglalhat egy folyamatot a tárolórendszerképek eszközökkel történő vizsgálatához, például a Twistlock vagy az Aqua használatával.
- Csak ellenőrzött rendszerképek üzembe helyezésének engedélyezése.
Használhat például egy folyamatos integrációs és folyamatos üzembe helyezési (CI/CD) folyamatot a képvizsgálatok, az ellenőrzés és az üzembe helyezés automatizálásához. Azure Container Registry tartalmazza ezeket a biztonsági rések vizsgálati képességeit.
Új rendszerképek automatikus létrehozása alaprendszerkép-frissítésre
Ajánlott eljárások útmutatója
Amikor alaprendszerképeket használ az alkalmazásképekhez, az automation használatával új rendszerképeket hozhat létre az alaprendszerkép frissítésekor. Mivel a frissített alaprendszerképek általában biztonsági javításokat tartalmaznak, frissítse az alárendelt alkalmazástároló lemezképeit.
Minden alkalommal, amikor egy alaprendszerkép frissül, frissítenie kell az alsóbb rétegbeli tárolórendszerképeket is. Integrálja ezt a buildelési folyamatot olyan ellenőrzési és üzembehelyezési folyamatokba, mint az Azure Pipelines vagy a Jenkins. Ezek a folyamatok biztosítják, hogy az alkalmazások továbbra is a frissített rendszerképeken fussanak. Az alkalmazástároló lemezképeinek ellenőrzése után frissítheti az AKS-üzemelő példányokat a legújabb biztonságos rendszerképek futtatásához.
Azure Container Registry Feladatok automatikusan frissíthetik a tárolórendszerképeket is az alaprendszerkép frissítésekor. Ezzel a funkcióval létrehozhat néhány alaprendszerképet, és folyamatosan frissítheti őket a hiba- és biztonsági javításokkal.
Az alaprendszerkép-frissítésekkel kapcsolatos további információkért lásd: Rendszerkép-buildek automatizálása alaprendszerkép-frissítésre Azure Container Registry Feladatok használatával.
Következő lépések
Ez a cikk a tárolók védelmére összpontosított. Ezen területek némelyikének implementálásához tekintse meg a következő cikket: