Sicurezza di cluster e applicazioni

Acquisire familiarità con le informazioni di base sulla sicurezza di Kubernetes ed esaminare la configurazione sicura per i cluster e le linee guida per la sicurezza delle applicazioni. La sicurezza di Kubernetes è importante per tutto il ciclo di vita del contenitore a causa della natura dinamica distribuita di un cluster Kubernetes. Le applicazioni sono sicure come il collegamento più debole nella catena di servizi che costituiscono la sicurezza dell'applicazione.

Pianificare, formare e provare

Quando si inizia, l'elenco di controllo per la sicurezza e le risorse di sicurezza kubernetes seguenti consentono di pianificare le operazioni del cluster e la sicurezza delle applicazioni. Al termine di questa sezione, si sarà in grado di rispondere a queste domande:

• È stato esaminato il modello di sicurezza e minaccia dei cluster Kubernetes?
• Il cluster è abilitato per il controllo degli accessi in base al ruolo di Kubernetes?

Elenco di controllo per la sicurezza:

• Acquisire familiarità con il white paper relativo alle nozioni di base sulla sicurezza. Gli obiettivi principali di un ambiente Kubernetes sicuro sono garantire che le applicazioni in esecuzione siano protette, che i problemi di sicurezza possano essere identificati e risolti rapidamente e che verranno evitati problemi simili futuri. Per altre informazioni, vedere The Definitive Guide to Securing Kubernetes (white paper).

• Esaminare la configurazione della protezione avanzata per i nodi del cluster. Un sistema operativo host con protezione avanzata riduce la superficie di attacco e consente la distribuzione sicura dei contenitori. Per ulteriori informazioni, vedere Rafforzamento della sicurezza negli host di macchine virtuali AKS.

• Configurare il controllo degli accessi basato sui ruoli per il cluster Kubernetes. Questo meccanismo di controllo consente di assegnare utenti o gruppi di utenti, l'autorizzazione per eseguire operazioni come creare o modificare risorse o visualizzare i log dall'esecuzione dei carichi di lavoro dell'applicazione.

  Per ulteriori informazioni, consultare.

  • Comprendere il controllo degli accessi basato sui ruoli di Kubernetes (RBAC) (video)
    
  • Integrare Microsoft Entra ID con servizio Azure Kubernetes
    
  • Limitare l'accesso al file di configurazione del cluster

Eseguire la distribuzione nell'ambiente di produzione e applicare le procedure consigliate per la sicurezza di Kubernetes

Quando si prepara l'applicazione per la produzione, implementare un set minimo di procedure consigliate. Usare questo elenco di controllo in questa fase. Al termine di questa sezione, si sarà in grado di rispondere a queste domande:

• Sono state configurate le regole di sicurezza di rete per le comunicazioni in ingresso, in uscita e all'interno del pod?
• Il cluster è configurato per applicare automaticamente gli aggiornamenti della sicurezza dei nodi?
• Stai eseguendo una soluzione di scansione della sicurezza per i servizi cluster e contenitori?

Elenco di controllo per la sicurezza:

• Controllare l'accesso ai cluster usando l'appartenenza al gruppo. Configurare il controllo degli accessi in base al ruolo di Kubernetes per limitare l'accesso alle risorse del cluster in base all'identità utente o all'appartenenza al gruppo. Per ulteriori informazioni, vedere Gestire l'accesso alle risorse del cluster usando Kubernetes RBAC e le identità di Microsoft Entra.

• Creare un criterio di gestione dei segreti. Distribuire e gestire in modo sicuro informazioni riservate, ad esempio password e certificati, usando la gestione dei segreti in Kubernetes. Per altre informazioni, vedere Informazioni sulla gestione dei segreti in Kubernetes (video).

• Proteggere il traffico di rete intra-pod con le politiche di rete. Applicare il principio dei privilegi minimi per controllare il flusso del traffico di rete tra i pod nel cluster. Per altre informazioni, vedere Proteggere il traffico intra-pod con i criteri di rete.

• Limitare l'accesso al server API usando indirizzi IP autorizzati. Migliorare la sicurezza del cluster e ridurre al minimo la superficie di attacco limitando l'accesso al server API a un set limitato di intervalli di indirizzi IP. Per altre informazioni, vedere Proteggere l'accesso al server API.

• Limitare il traffico in uscita del cluster. Scopri quali porte e indirizzi consentire se si limita il traffico in uscita per il cluster. È possibile usare Firewall di Azure o un'appliance firewall di terze parti per proteggere il traffico in uscita e definire queste porte e indirizzi necessari. Per maggiori dettagli, consultare Controllare il traffico in uscita per i nodi del cluster in AKS.

• Proteggere il traffico con Web Application Firewall (WAF). Usa Azure Application Gateway come Ingress Controller per i cluster Kubernetes. Per ulteriori informazioni, vedere Configurare Azure Application Gateway come ingress controller.

• Applicare aggiornamenti della sicurezza e del kernel ai nodi di lavoro. Informazioni sull'esperienza di aggiornamento dei nodi del servizio Azure Kubernetes. Per proteggere i cluster, gli aggiornamenti della sicurezza vengono applicati automaticamente ai nodi Linux nel servizio Azure Kubernetes. Questi aggiornamenti includono correzioni della sicurezza del sistema operativo o gli aggiornamenti del kernel. Alcuni di questi aggiornamenti richiedono il riavvio di un nodo per completare il processo. Per altre informazioni, vedere Usare kured per riavviare automaticamente i nodi per applicare gli aggiornamenti.

• Configurare una soluzione di analisi di contenitori e cluster. Analizzare i contenitori di cui è stato eseguito il push in Registro Azure Container e ottenere visibilità più approfondita sui nodi del cluster, sul traffico cloud e sui controlli di sicurezza.

  Per altre informazioni, vedere:

  • Integrazione di Registro Azure Container con Defender for Cloud
    
  • Integrazione del servizio Azure Kubernetes con Defender for Cloud

Ottimizzare e ridimensionare

Ora che l'applicazione è in produzione, come è possibile ottimizzare il flusso di lavoro e preparare l'applicazione e il team per la scalabilità? Usare l'elenco di controllo di ottimizzazione e ridimensionamento per prepararsi. Al termine di questa sezione, si sarà in grado di rispondere a questa domanda:

• È possibile applicare criteri di governance e cluster su larga scala?

Elenco di controllo per la sicurezza:

• Applicare i criteri di governance del cluster. Applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. Per altre informazioni, vedere Controllare le distribuzioni con Criteri di Azure.

• Ruotare periodicamente i certificati del cluster. Kubernetes usa i certificati per l'autenticazione con molti dei relativi componenti. È possibile ruotare periodicamente tali certificati per motivi di sicurezza o criteri. Per altre informazioni, vedere Ruotare i certificati nel servizio Azure Kubernetes.