Concetti di sicurezza nel servizio Azure Kubernetes abilitati da Azure Arc
Si applica a: servizio Azure Kubernetes in Azure Stack HCI 22H2, servizio Azure Kubernetes in Windows Server
La sicurezza nel servizio Azure Kubernetes abilitata da Azure Arc comporta la protezione dell'infrastruttura e delle applicazioni in esecuzione nel cluster Kubernetes. Il servizio Azure Kubernetes abilitato da Arc supporta le opzioni di distribuzione ibrida per servizio Azure Kubernetes (servizio Azure Kubernetes). Questo articolo descrive le misure di protezione avanzata e le funzionalità di sicurezza predefinite usate per proteggere l'infrastruttura e le applicazioni nei cluster Kubernetes.
Sicurezza dell'infrastruttura
Il servizio Azure Kubernetes abilitato da Arc applica varie misure di sicurezza per proteggere l'infrastruttura. Il diagramma seguente evidenzia queste misure:
La tabella seguente descrive gli aspetti di protezione avanzata del servizio Azure Kubernetes in Azure Stack HCI illustrati nel diagramma precedente. Per informazioni generali concettuali sull'infrastruttura per una distribuzione del servizio Azure Kubernetes, vedere Cluster e carichi di lavoro.
| Aspetto della sicurezza | Descrizione |
|---|---|
| 1 | Poiché l'host del servizio Azure Kubernetes ha accesso a tutti i cluster del carico di lavoro (di destinazione), questo cluster può essere un singolo punto di compromissione. Tuttavia, l'accesso all'host del servizio Azure Kubernetes viene controllato attentamente perché lo scopo del cluster di gestione è limitato al provisioning dei cluster del carico di lavoro e alla raccolta di metriche del cluster aggregate. |
| 2 | Per ridurre i costi e la complessità della distribuzione, i cluster del carico di lavoro condividono l'istanza sottostante di Windows Server. Tuttavia, a seconda delle esigenze di sicurezza, gli amministratori possono scegliere di distribuire un cluster del carico di lavoro in un server Windows dedicato. Quando i cluster del carico di lavoro condividono Windows Server sottostante, ogni cluster viene distribuito come macchina virtuale, garantendo così garanzie di isolamento forti tra i cluster del carico di lavoro. |
| 3 | I carichi di lavoro dei clienti vengono distribuiti come contenitori e condividono la stessa macchina virtuale. I contenitori sono isolati l'uno dall'altro, che è una forma più debole di isolamento rispetto alle garanzie di isolamento forti offerte dalle macchine virtuali. |
| 4 | I contenitori comunicano tra loro tramite una rete di sovrapposizione. Gli amministratori possono configurare i criteri calico per definire le regole di isolamento della rete tra contenitori. Calico supporta sia i contenitori Windows che Linux ed è un prodotto open source supportato così com'è. |
| 5 | La comunicazione tra componenti Kubernetes predefiniti del servizio Azure Kubernetes in Azure Stack HCI, inclusa la comunicazione tra il server API e l'host contenitore, viene crittografata tramite certificati. Il servizio Azure Kubernetes offre un provisioning, un rinnovo e una revoca predefiniti per i certificati predefiniti. |
| 6 | La comunicazione con il server API dai computer client Windows viene protetta usando le credenziali di Microsoft Entra per gli utenti. |
| 7 | Per ogni versione, Microsoft fornisce i dischi rigidi virtuali per le macchine virtuali del servizio Azure Kubernetes in Azure Stack HCI e applica le patch di sicurezza appropriate quando necessario. |
Sicurezza delle applicazioni
La tabella seguente descrive le diverse opzioni di sicurezza delle applicazioni disponibili nel servizio Azure Kubernetes abilitato da Arc:
Nota
È possibile usare le opzioni di protezione avanzata delle applicazioni open source disponibili nell'ecosistema di open source scelto.
| Opzione | Descrizione |
|---|---|
| Creare la sicurezza | L'obiettivo per la protezione delle compilazioni è impedire l'introduzione di vulnerabilità nel codice dell'applicazione o nelle immagini del contenitore quando vengono generate le immagini. L'integrazione con Azure GitOps di Kubernetes, abilitata per Azure Arc, consente di analizzare e osservare, che offre agli sviluppatori la possibilità di risolvere i problemi di sicurezza. Per altre informazioni, vedere Distribuire configurazioni usando GitOps in un cluster Kubernetes abilitato per Azure Arc. |
| Sicurezza del registro contenitori | L'obiettivo per la sicurezza del registro contenitori è garantire che le vulnerabilità non vengano introdotte durante il caricamento delle immagini del contenitore nel registro, mentre l'immagine viene archiviata nel registro e durante i download delle immagini dal Registro di sistema. Il servizio Azure Kubernetes consiglia di usare Registro Azure Container. Registro Azure Container include l'analisi delle vulnerabilità e altre funzionalità di sicurezza. Per altre informazioni, vedere la documentazione di Registro Azure Container. |
| Microsoft Entra identità per i carichi di lavoro windows che usano gMSA per contenitori | I carichi di lavoro dei contenitori di Windows possono ereditare l'identità dell'host contenitore e usarli per l'autenticazione. Con i nuovi miglioramenti, l'host contenitore non deve essere aggiunto a un dominio. Per altre informazioni, vedere Integrazione del servizio gestito del gruppo per i carichi di lavoro di Windows. |
Funzionalità di sicurezza predefinite
Questa sezione descrive le funzionalità di sicurezza predefinite attualmente disponibili nel servizio Azure Kubernetes abilitato da Azure Arc:
| Obiettivo di sicurezza | Funzionalità |
|---|---|
| Proteggere l'accesso al server API. | Supporto dell'accesso Single Sign-On di Active Directory per i client PowerShell e Windows Admin Center. Questa funzionalità è attualmente abilitata solo per i cluster del carico di lavoro. |
| Assicurarsi che tutte le comunicazioni tra i componenti Kubernetes predefiniti del piano di controllo siano sicure. Ciò include la sicurezza della comunicazione tra il server API e il cluster del carico di lavoro. | Soluzione di certificato predefinita zero touch per il provisioning, il rinnovo e la revoca dei certificati. Per altre informazioni, vedere Proteggere la comunicazione con i certificati. |
| Ruotare le chiavi di crittografia dell'archivio segreto Kubernetes (etcd) usando il plug-in Key Management Server (KMS). | Plug-in per l'integrazione e l'orchestrazione della rotazione delle chiavi con il provider del Servizio di gestione delle chiavi specificato. Per altre informazioni, vedere Crittografare i segreti etcd. |
| Monitoraggio delle minacce in tempo reale per i contenitori che supportano i carichi di lavoro per contenitori Windows e Linux. | Integrazione con Azure Defender per Kubernetes connesso ad Azure Arc, disponibile come funzionalità di anteprima pubblica fino al rilascio generale del rilevamento delle minacce Kubernetes per Kubernetes connesso ad Azure Arc. Per altre informazioni, vedere Difendere i cluster Kubernetes con abilitazione di Azure Arc. |
| Microsoft Entra'identità per i carichi di lavoro di Windows. | Usare l'integrazione del servizio gestito del gruppo per i carichi di lavoro di Windows per configurare l'identità Microsoft Entra. |
| Supporto per i criteri calico per proteggere il traffico tra i pod | Per usare i criteri calico, vedere Proteggere il traffico tra i pod usando i criteri di rete. |
Passaggi successivi
In questo argomento sono stati illustrati i concetti relativi alla protezione del servizio Azure Kubernetes abilitato da Azure Arc e alla protezione delle applicazioni nei cluster Kubernetes.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per