A Azure Kubernetes Service (AKS-) fürtök védelme Azure Policy
A Azure Kubernetes Service -fürtökre beépített biztonsági szabályzatokat alkalmazhat és érvényesíthet a Azure Policy használatával. Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az AKS-hez készült Azure Policy bővítmény telepítése után egyéni szabályzatdefiníciókat vagy kezdeményezésnek (más néven szabályzatkészleteknek) nevezett szabályzatdefiníciócsoportokat alkalmazhat a fürtre. Az AKS-szabályzat- és kezdeményezésdefiníciók teljes listáját az AKS beépített definícióinak Azure Policy című cikkben találja.
Ez a cikk bemutatja, hogyan alkalmazhat szabályzatdefiníciókat a fürtre, és ellenőrizheti, hogy a hozzárendelések kikényszerítése folyamatban van-e.
Előfeltételek
- Ez a cikk feltételezi, hogy van egy meglévő AKS-fürtje. Ha AKS-fürtre van szüksége, létrehozhat egyet az Azure CLI, Azure PowerShell vagy Azure Portal használatával.
- Az AKS-fürtre telepítve kell lennie az AKS Azure Policy bővítményének.
Beépített szabályzatdefiníció vagy -kezdeményezés hozzárendelése
A szabályzatdefiníciót vagy kezdeményezést az Azure Portal az alábbi lépésekkel alkalmazhatja:
- Keresse meg a Azure Policy szolgáltatást Azure Portal Policy (Szabályzat) néven.
- A Azure Policy lap bal oldali ablaktábláján válassza a Definíciók lehetőséget.
- A Kategóriák területen válassza a lehetőséget
Kubernetes
. - Válassza ki az alkalmazni kívánt szabályzatdefiníciót vagy kezdeményezést. Ebben a példában válassza ki a Kubernetes-fürt podjának biztonsági alapkonfigurációs szabványait a Linux-alapú számítási feladatokhoz kezdeményezéshez.
- Válassza a Hozzárendelés elemet.
- Állítsa a Hatókör beállítást az AKS-fürt erőforráscsoportjára, amelyen engedélyezve van a Azure Policy bővítmény.
- Válassza a Paraméterek lapot, és frissítse az effektust a-ról
audit
a-radeny
az alapterv kezdeményezést megsértő új üzemelő példányok letiltásához. További névtereket is hozzáadhat a kiértékelésből való kizáráshoz. Ebben a példában tartsa meg az alapértelmezett értékeket. - A szabályzat-hozzárendelés elküldéséhez válassza a Felülvizsgálat + létrehozás lehetőséget>.
Egyéni szabályzatdefiníció létrehozása és hozzárendelése
Az egyéni szabályzatok lehetővé teszik az Azure használatára vonatkozó szabályok meghatározását. Kényszerítheti például a következő típusú szabályokat:
- Biztonsági eljárások
- Költségkezelés
- Szervezetspecifikus szabályok (például elnevezés vagy helyek)
Egyéni szabályzat létrehozása előtt ellenőrizze a gyakori minták és minták listáját , és ellenőrizze, hogy az eset már szerepel-e benne.
Az egyéni szabályzatdefiníciók JSON-ban vannak megírva. További információ az egyéni szabályzatok létrehozásáról: Azure Policy definícióstruktúra és Egyéni szabályzatdefiníció létrehozása.
Megjegyzés
Azure Policy most egy templateInfo nevű új tulajdonságot használ, amely lehetővé teszi a kényszersablon forrástípusának meghatározását. A templateInfo szabályzatdefiníciókban való definiálásakor nem kell megadnia a constraintTemplate vagy a constraint tulajdonságokat. Továbbra is meg kell határoznia az apiGroup-okat és -típusokat. Erről további információt a Azure Policy hatásainak ismertetése című témakörben talál.
Miután létrehozta az egyéni szabályzatdefiníciót, tekintse meg a Szabályzatdefiníció hozzárendelése című témakört a szabályzat Kubernetes-fürthöz való hozzárendelésének részletes útmutatójához.
Annak ellenőrzése, hogy fut-e egy Azure Policy
Ellenőrizze, hogy a rendszer alkalmazza-e a szabályzat-hozzárendeléseket a fürtre az alábbi
kubectl get
paranccsal.kubectl get constrainttemplates
Megjegyzés
A szabályzat-hozzárendelések szinkronizálása akár 20 percet is igénybe vehet az egyes fürtökbe.
A kimenetnek az alábbi példakimenethez hasonlónak kell lennie:
NAME AGE k8sazureallowedcapabilities 23m k8sazureallowedusersgroups 23m k8sazureblockhostnamespace 23m k8sazurecontainerallowedimages 23m k8sazurecontainerallowedports 23m k8sazurecontainerlimits 23m k8sazurecontainernoprivilege 23m k8sazurecontainernoprivilegeescalation 23m k8sazureenforceapparmor 23m k8sazurehostfilesystem 23m k8sazurehostnetworkingports 23m k8sazurereadonlyrootfilesystem 23m k8sazureserviceallowedports 23m
Emelt szintű pod elutasításának ellenőrzése
Először teszteljük, mi történik, ha egy podot a biztonsági környezetével privileged: true
ütemez. Ez a biztonsági környezet eszkalálja a pod jogosultságait. A kezdeményezés letiltja a kiemelt podokat, ezért a kérés megtagadva, ami az üzembe helyezés elutasítását eredményezi.
Hozzon létre egy nevű
nginx-privileged.yaml
fájlt, és illessze be az alábbi YAML-jegyzékfájlt.apiVersion: v1 kind: Pod metadata: name: nginx-privileged spec: containers: - name: nginx-privileged image: mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine securityContext: privileged: true
Hozza létre a podot a
kubectl apply
paranccsal, és adja meg a YAML-jegyzékfájl nevét.kubectl apply -f nginx-privileged.yaml
A vártnak megfelelően a pod nem ütemezhető, ahogy az alábbi példakimenetben látható:
Error from server ([denied by azurepolicy-container-no-privilege-00edd87bf80f443fa51d10910255adbc4013d590bec3d290b4f48725d4dfbdf9] Privileged container is not allowed: nginx-privileged, securityContext: {"privileged": true}): error when creating "privileged.yaml": admission webhook "validation.gatekeeper.sh" denied the request: [denied by azurepolicy-container-no-privilege-00edd87bf80f443fa51d10910255adbc4013d590bec3d290b4f48725d4dfbdf9] Privileged container is not allowed: nginx-privileged, securityContext: {"privileged": true}
A pod nem éri el az ütemezési fázist, így a továbblépés előtt nincs törölhető erőforrás.
Nemprivileged pod létrehozásának tesztelése
Az előző példában a tárolólemezkép automatikusan root használatával próbálta meg az NGINX-et a 80-ás porthoz kötni. A szabályzat kezdeményezése megtagadja ezt a kérést, ezért a pod nem indul el. Most próbálja meg futtatni ugyanazt az NGINX-podot emelt szintű hozzáférés nélkül.
Hozzon létre egy nevű
nginx-unprivileged.yaml
fájlt, és illessze be az alábbi YAML-jegyzékfájlt.apiVersion: v1 kind: Pod metadata: name: nginx-unprivileged spec: containers: - name: nginx-unprivileged image: mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
Hozza létre a podot a
kubectl apply
paranccsal, és adja meg a YAML-jegyzékfájl nevét.kubectl apply -f nginx-unprivileged.yaml
Ellenőrizze a pod állapotát a
kubectl get pods
paranccsal.kubectl get pods
A kimenetnek hasonlónak kell lennie a következő példakimenethez, amely azt mutatja, hogy a pod sikeresen ütemezve van, és Fut állapotú:
NAME READY STATUS RESTARTS AGE nginx-unprivileged 1/1 Running 0 18s
Ez a példa az alapterv kezdeményezést mutatja be, amely csak a gyűjtemény szabályzatait megsértő üzemelő példányokat érinti. Az engedélyezett üzemelő példányok továbbra is működnek.
Törölje az NGINX nem emelt szintű podot a
kubectl delete
paranccsal, és adja meg a YAML-jegyzékfájl nevét.kubectl delete -f nginx-unprivileged.yaml
Szabályzat vagy kezdeményezés letiltása
Az alapterv kezdeményezését az alábbi lépésekkel távolíthatja el a Azure Portal:
- Lépjen a Házirend panelre a Azure Portal.
- Válassza a Hozzárendelések lehetőséget.
- Válassza a ... gombot a Kubernetes-fürt podjának biztonsági alapkonfigurációs szabványai mellett a Linux-alapú számítási feladatok kezdeményezéséhez .
- Válassza a Hozzárendelés törlése lehetőséget.
Következő lépések
A Azure Policy működésével kapcsolatos további információkért tekintse meg az alábbi cikkeket: