Fürt- és alkalmazásbiztonság
Ismerkedjen meg a Kubernetes biztonsági alapismereteivel, és tekintse át a fürtök biztonságos beállítását és az alkalmazásbiztonsági útmutatást. A Kubernetes-biztonság a tároló teljes életciklusa során fontos a Kubernetes-fürt elosztott, dinamikus jellege miatt. Az alkalmazások csak olyan biztonságosak, mint az alkalmazás biztonságát alkotó szolgáltatási lánc leggyengébb láncszemei.
Tervezés, betanítása és igazolása
Az első lépések során a biztonsági alapismeretek ellenőrzőlistája és a Kubernetes alábbi biztonsági erőforrásai segítenek megtervezni a fürtműveleteket és az alkalmazásbiztonságot. A szakasz végére az alábbi kérdésekre is választ kaphat:
- Áttekintette a Kubernetes-fürtök biztonsági és fenyegetési modelljét?
- Engedélyezve van a fürt a Kubernetes szerepköralapú hozzáférés-vezérléséhez?
Biztonsági ellenőrzőlista:
Ismerkedjen meg a biztonsági alapokkal foglalkozó tanulmánysal. A biztonságos Kubernetes-környezet elsődleges célja, hogy az általa futtatott alkalmazások védettek legyenek, a biztonsági problémák gyorsan azonosíthatók és kezelhetők legyenek, és hogy a jövőben hasonló problémák megelőzhetők legyenek. További információ:
The Definitive Guide to Securing Kubernetes
(tanulmány).Tekintse át a fürtcsomópontok biztonsági korlátozásának beállítását. A biztonságilag megerősített gazdagép operációs rendszere csökkenti a támadás felületét, és lehetővé teszi a tárolók biztonságos üzembe helyezését. További információ: AKS virtuálisgép-gazdagépek biztonsági megkeményedése.
Fürt Kubernetes szerepköralapú hozzáférés-vezérlésének beállítása (Kubernetes RBAC). Ez a vezérlési mechanizmus lehetővé teszi, hogy felhasználókat vagy felhasználói csoportokat rendeljen hozzá olyan műveletekhez, mint például erőforrások létrehozása vagy módosítása, vagy naplók megtekintése az alkalmazás számítási feladatainak futtatásából.
További információt itt talál
Üzembe helyezés éles környezetben és a Kubernetes biztonsági ajánlott eljárásainak alkalmazása
Az alkalmazás éles környezetben való előkészítése során implementáljon minimális ajánlott eljárásokat. Ebben a szakaszban használja ezt az ellenőrzőlistát. A szakasz végére az alábbi kérdésekre is választ kaphat:
- Beállította a hálózati biztonsági szabályokat a bejövő, kimenő és podon belüli kommunikációhoz?
- A fürt úgy van beállítva, hogy automatikusan alkalmazza a csomópont biztonsági frissítéseit?
- Biztonsági vizsgálati megoldást futtat a fürt- és tárolószolgáltatásokhoz?
Biztonsági ellenőrzőlista:
Csoporttagság használatával szabályozhatja a fürtök hozzáférését. Konfigurálja a Kubernetes szerepköralapú hozzáférés-vezérlését (Kubernetes RBAC) a fürterőforrásokhoz való hozzáférés korlátozásához a felhasználói identitás vagy csoporttagság alapján. További információ: Fürterőforrások hozzáférésének szabályozása Kubernetes RBAC és Microsoft Entra-identitások használatával.
Hozzon létre egy titkos kulcskezelési szabályzatot. Bizalmas adatok, például jelszavak és tanúsítványok biztonságos üzembe helyezése és kezelése titkos kódok kezelésével a Kubernetesben. További információ: Titkos kódok kezelése a Kubernetesben (videó).
Biztonságossá teheti a podon belüli hálózati forgalmat hálózati szabályzatokkal. Alkalmazza a minimális jogosultság elvét a fürt podjai közötti hálózati forgalom szabályozására. További információ: Biztonságos podon belüli forgalom hálózati házirendekkel.
Az API-kiszolgálóhoz való hozzáférés korlátozása engedélyezett IP-címek használatával. A fürtbiztonság javítása és a támadási felület minimalizálása az API-kiszolgálóhoz való hozzáférés korlátozott IP-címtartományokra való korlátozásával. További információ: Biztonságos hozzáférés az API-kiszolgálóhoz.
Fürt kimenő forgalmának korlátozása. Megtudhatja, hogy milyen portokat és címeket engedélyezhet, ha korlátozza a fürt kimenő forgalmát. Az Azure Firewall vagy egy külső tűzfalberendezés használatával biztonságossá teheti a kimenő forgalmat, és meghatározhatja ezeket a szükséges portokat és címeket. További információ: Fürtcsomópontok kimenő forgalmának szabályozása az AKS-ben.
Biztonságossá teheti a forgalmat a webalkalmazási tűzfal (WAF) használatával. A Kubernetes-fürtök bejövőforgalom-vezérlőjeként használja Azure-alkalmazás Átjárót. További információ: Azure-alkalmazás Átjáró konfigurálása bejövőforgalom-vezérlőként.
Biztonsági és kernelfrissítések alkalmazása a feldolgozó csomópontokra. Az AKS-csomópont frissítési felületének ismertetése. A fürtök védelme érdekében a rendszer automatikusan alkalmazza a biztonsági frissítéseket az AKS Linux-csomópontjaira. Ezek a frissítések közé tartoznak az operációs rendszer biztonsági javításai vagy a kernelfrissítések. Ezen frissítések némelyikéhez a csomópont újraindítása szükséges a folyamat befejezéséhez. További információ: A kured használata a csomópontok automatikus újraindításához a frissítések alkalmazásához.
Konfiguráljon egy tároló- és fürtvizsgálati megoldást. Vizsgálja meg az Azure Container Registrybe leküldett tárolókat, és jobban megismerje a fürtcsomópontokat, a felhőbeli forgalmat és a biztonsági vezérlőket.
For more information, see:
Optimalizálás és méretezés
Most, hogy az alkalmazás éles környezetben van, hogyan optimalizálhatja a munkafolyamatot, és hogyan készítheti fel az alkalmazást és a csapatot a skálázásra? Az optimalizálási és skálázási ellenőrzőlista használatával készítse elő. A szakasz végére meg tudja válaszolni ezt a kérdést:
- Nagy léptékű szabályozási és fürtszabályzatokat kényszeríthet ki?
Biztonsági ellenőrzőlista:
Fürtszabályozási szabályzatok kényszerítése. A fürtökre központi, konzisztens módon alkalmazhat helyszíni kényszerítéseket és biztosítékokat. További információ: Üzembe helyezés szabályozása az Azure Policy használatával.
Fürttanúsítványok rendszeres elforgatása. A Kubernetes számos összetevőjével való hitelesítéshez tanúsítványokat használ. Biztonsági vagy szabályzati okokból érdemes lehet rendszeresen elforgatni ezeket a tanúsítványokat. További információ: Tanúsítványok elforgatása az Azure Kubernetes Service-ben (AKS).