Delen via

Handleiding voor beveiliging van Azure Arc-ingeschakelde Kubernetes en door Azure Arc ingeschakelde AKS.

Opmerking

Deze inhoud is een van een reeks beveiligingsboeken, met aanbevelingen en aanbevolen procedures om Microsoft-platforms te beveiligen. Andere beveiligingsboeken zijn onder andere het Azure Local-beveiligingsboek, het Windows Server 2025-beveiligingsboek en het Windows Client-beveiligingsboek.

Uw organisatie heeft mogelijk Kubernetes-implementaties met clusters die aan de rand worden uitgevoerd (on-premises in datacenters, factory's, winkels) of in meerdere clouds. Het is vaak een uitdaging om een consistent en schaalbaar beveiligingspostuur te behouden in deze heterogene omgevingen. U kunt deze uitdaging oplossen en uw beveiligingswerkstromen vereenvoudigen door door Microsoft beheerde clusters uit te voeren met behulp van Azure Kubernetes Service (AKS) die is ingeschakeld door Azure Arc in uw edge-infrastructuur, zoals in Azure Local. U kunt ook bestaande niet-Microsoft Edge-clusters verbinden met Kubernetes met Azure Arc.

In dit boek wordt uitgelegd hoe u met deze producten een consistente en schaalbare beveiligingspostuur kunt onderhouden, met betrekking tot zowel uw clusterinfrastructuur als uw toepassingsworkloads. Het adviseert hoe u kunt helpen beschermen tegen meerdere bedreigingsvectoren in de toeleveringsketenrisico's, kwaadwillende externe actoren of insider-aanvallen. Het bouwt voort op aanbevolen procedures voor de branche, zoals die van:

Het komt ook overeen met:

Als u een beveiligingsprofessional bent, bekijkt dit boek al deze factoren en doet u meerdere aanbevelingen. Als u een leider of technicus bent met directe verantwoordelijkheid voor Kubernetes-ontwikkeling, -implementatie of -bewerkingen, wijst het u verder naar gedetailleerde praktische adviezen over de stappen die u kunt nemen.

Diagram met de vijf beveiligingscategorieën voor Edge Kubernetes.

De beveiligingsuitdagingen vallen in vijf categorieën:

  1. Beveilig uw platform. Deze categorie omvat het configureren van uw Kubernetes-cluster om veiliger te werken en hetzelfde te doen voor de onderliggende besturingssysteem- en hardware-infrastructuur, op de juiste manier met al hun ingebouwde mogelijkheden.
  2. Beveilig uw workloads. Deze categorie omvat het veiliger bouwen van uw containers door kubernetes- en Linux-beveiligingsstandaarden te volgen. Ook wordt beschreven hoe u veiligere verificatie en autorisatie tot stand brengt voor aanvragen naar/van andere services binnen en buiten de clusters.
  3. Beveilig uw activiteiten. Deze categorie omvat het controleren wie er in deze clusters kan uitrollen. Hierin wordt beschreven hoe u het kubernetes-systeem van het cluster kunt samenvoegen voor verificatie en autorisatie met Microsoft Entra en op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) in de cloud. Ook wordt besproken hoe u uw software supply chain beter kunt beveiligen en standaarden kunt afdwingen voor uw implementaties via beleid.
  4. Beveilig uw gegevens. Deze categorie omvat een betere beveiliging van de toegang tot zowel uw workloadtoepassingsgegevens als de gegevens die Kubernetes namens u opslaat, met name geheimen zoals wachtwoorden.
  5. Beveilig uw netwerk. Deze categorie omvat het configureren van de extra verdediging in de diepte die voortkomt uit het beheersen van beheer- en gegevensverkeer op netwerkniveau. Hierin wordt beschreven hoe u kunt beperken van welke bronnen uw clusters en workloads kunnen ontvangen en naar welke doelen ze kunnen verzenden.

Dit boek bevat richtlijnen voor deze uitdagingen voor Kubernetes-clusters met Arc in het algemeen en voor AKS die zijn ingeschakeld door Azure Arc-clusters in het bijzonder. Er zijn veel implementatieopties voor AKS ingeschakeld door Azure Arc. In dit boek wordt de implementatieoptie Azure Local 23H2 beschreven en wordt voortgebouwd op de azure-beveiligingsfuncties en het beveiligingsboek. (Andere implementatieopties bieden enkele, maar niet alle voordelen.)

Volgende stappen