Procedure consigliate per la gestione e la sicurezza delle immagini del contenitore nel servizio Azure Kubernetes

  • Articolo

La sicurezza delle immagini dei contenitori e dei contenitori è una priorità importante quando si sviluppano ed eseguono applicazioni in servizio Azure Kubernetes (servizio Azure Kubernetes). I contenitori con immagini di base obsolete o runtime dell'applicazione senza patch introducono rischi per la sicurezza e possibili vettori di attacco. È possibile ridurre al minimo questi rischi integrando ed eseguendo strumenti di analisi e correzione nei contenitori in fase di compilazione e runtime. In precedenza si rileva la vulnerabilità o l'immagine di base obsoleta, più sicura è l'applicazione.

In questo articolo i "contenitori" si riferiscono sia alle immagini del contenitore archiviate in un registro contenitori che ai contenitori in esecuzione.

Questo articolo illustra in particolare come proteggere i contenitori nel servizio Azure Kubernetes. Si apprenderà come:

  • Cercare e correggere le vulnerabilità delle immagini.
  • Attivare e ridistribuire automaticamente le immagini del contenitore quando viene aggiornata un'immagine di base.

Proteggere le immagini e il runtime

Indicazioni sulle procedure consigliate

  • Analizzare le immagini del contenitore per individuare le vulnerabilità.
  • Distribuisci solo immagini convalidate.
  • Aggiornare regolarmente le immagini di base e il runtime dell'applicazione.
  • Ridistribuire i carichi di lavoro nel cluster del servizio Azure Kubernetes.

Quando si adottano carichi di lavoro basati su contenitori, si vuole verificare la sicurezza delle immagini e del runtime usate per compilare applicazioni personalizzate. Per evitare di introdurre vulnerabilità di sicurezza nelle distribuzioni, è possibile usare le procedure consigliate seguenti:

  • Includere nel flusso di lavoro di distribuzione un processo per analizzare le immagini del contenitore usando strumenti come Twistlock o Aqua.
  • Consente solo la distribuzione di immagini verificate.

Analizzare e correggere le immagini del contenitore, convalidarle e distribuirle

Ad esempio, è possibile usare una pipeline di integrazione continua e distribuzione continua (CI/CD) per automatizzare le analisi, la verifica e le distribuzioni delle immagini. Registro Azure Container include queste funzionalità di analisi delle vulnerabilità.

Compilare automaticamente nuove immagini all'aggiornamento dell'immagine di base

Indicazioni sulle procedure consigliate

Quando si usano immagini di base per le immagini dell'applicazione, usare l'automazione per compilare nuove immagini quando l'immagine di base viene aggiornata. Poiché le immagini di base aggiornate includono in genere correzioni di sicurezza, aggiornare tutte le immagini del contenitore dell'applicazione downstream.

Ogni volta che viene aggiornata un'immagine di base, è necessario aggiornare anche eventuali immagini del contenitore downstream. Integrare questo processo di compilazione nelle pipeline di convalida e distribuzione, ad esempio Azure Pipelines o Jenkins. Queste pipeline assicurano che le applicazioni continuino a essere eseguite nelle immagini basate aggiornate. Dopo aver convalidato le immagini del contenitore dell'applicazione, è possibile aggiornare le distribuzioni del servizio Azure Kubernetes per eseguire le immagini sicure più recenti.

Le immagini del contenitore possono essere aggiornate automaticamente anche da Attività del Registro Azure Container quando l'immagine di base viene aggiornata. Con questa funzionalità, si creano alcune immagini di base e le si mantiene aggiornate con correzioni di bug e sicurezza.

Per altre informazioni sugli aggiornamenti delle immagini di base, vedere Automatizzare la compilazione di immagini in caso di aggiornamento dell'immagine di base con ACR Tasks.

Passaggi successivi

In questo articolo è stato illustrato in particolare come proteggere i contenitori. Per implementare alcune di queste aree, vedere l'articolo seguente: