Najlepsze rozwiązania dotyczące zarządzania obrazami kontenerów i zabezpieczeń w usłudze Azure Kubernetes Service (AKS)
Zabezpieczenia obrazów kontenerów i kontenerów są głównym priorytetem podczas tworzenia i uruchamiania aplikacji w usłudze Azure Kubernetes Service (AKS). Kontenery z nieaktualnymi obrazami podstawowymi lub nienastawionym środowiskiem uruchomieniowym aplikacji wprowadzają zagrożenia bezpieczeństwa i możliwe wektory ataków. Te zagrożenia można zminimalizować, integrując i uruchamiając narzędzia do skanowania i korygowania w kontenerach w środowisku kompilacji i środowiska uruchomieniowego. Wcześniejsza luka w zabezpieczeniach lub nieaktualny obraz podstawowy, tym bezpieczniejsza jest aplikacja.
W tym artykule "kontenery" odnoszą się zarówno do obrazów kontenerów przechowywanych w rejestrze kontenerów, jak i uruchomionych kontenerów.
W tym artykule opisano sposób zabezpieczania kontenerów w usłudze AKS. Dowiedz się, jak odbywa się:
- Skanuj pod kątem luk w zabezpieczeniach obrazów i koryguj je.
- Automatyczne wyzwalanie i ponowne wdrażanie obrazów kontenerów po zaktualizowaniu obrazu podstawowego.
- Możesz zapoznać się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i zabezpieczeń zasobników klastra.
- Zabezpieczenia kontenerów można użyć w Defender dla Chmury, aby ułatwić skanowanie kontenerów pod kątem luk w zabezpieczeniach. Integracja usługi Azure Container Registry z usługą Defender dla Chmury pomaga chronić obrazy i rejestr przed lukami w zabezpieczeniach.
Zabezpieczanie obrazów i środowiska uruchomieniowego
Wskazówki dotyczące najlepszych rozwiązań
- Skanuj obrazy kontenerów pod kątem luk w zabezpieczeniach.
- Tylko wdrożone zweryfikowane obrazy.
- Regularnie aktualizuj obrazy podstawowe i środowisko uruchomieniowe aplikacji.
- Ponowne wdrażanie obciążeń w klastrze usługi AKS.
Podczas wdrażania obciążeń opartych na kontenerach chcesz zweryfikować zabezpieczenia obrazów i środowiska uruchomieniowego używanego do tworzenia własnych aplikacji. Aby uniknąć wprowadzania luk w zabezpieczeniach we wdrożeniach, możesz użyć następujących najlepszych rozwiązań:
- Uwzględnij w przepływie pracy wdrażania proces skanowania obrazów kontenerów przy użyciu narzędzi, takich jak Twistlock lub Aqua.
- Zezwalaj tylko na wdrażanie zweryfikowanych obrazów.
Na przykład możesz użyć potoku ciągłej integracji i ciągłego wdrażania (CI/CD), aby zautomatyzować skanowania obrazów, weryfikację i wdrożenia. Usługa Azure Container Registry obejmuje te możliwości skanowania luk w zabezpieczeniach.
Automatyczne kompilowanie nowych obrazów w aktualizacji obrazu podstawowego
Wskazówki dotyczące najlepszych rozwiązań
W miarę używania obrazów podstawowych dla obrazów aplikacji użyj automatyzacji do kompilowania nowych obrazów podczas aktualizowania obrazu podstawowego. Ponieważ zaktualizowane obrazy podstawowe zwykle obejmują poprawki zabezpieczeń, zaktualizuj wszystkie obrazy kontenerów aplikacji podrzędnych.
Za każdym razem, gdy obraz podstawowy jest aktualizowany, należy również zaktualizować wszystkie podrzędne obrazy kontenerów. Zintegruj ten proces kompilacji z potokami walidacji i wdrażania, takimi jak Azure Pipelines lub Jenkins. Te potoki zapewniają, że aplikacje będą nadal działać na zaktualizowanych obrazach opartych na. Po zweryfikowaniu obrazów kontenerów aplikacji możesz zaktualizować wdrożenia usługi AKS, aby uruchamiać najnowsze bezpieczne obrazy.
Zadania usługi Azure Container Registry mogą również automatycznie aktualizować obrazy kontenerów po zaktualizowaniu obrazu podstawowego. Dzięki tej funkcji utworzysz kilka obrazów podstawowych i będziesz je aktualizować przy użyciu poprawek błędów i zabezpieczeń.
Aby uzyskać więcej informacji na temat aktualizacji obrazu podstawowego, zobacz Automatyzowanie kompilacji obrazów na podstawie aktualizacji obrazu podstawowego za pomocą zadań usługi Azure Container Registry.
Następne kroki
W tym artykule opisano sposób zabezpieczania kontenerów. Aby zaimplementować niektóre z tych obszarów, zobacz następujący artykuł:
Azure Kubernetes Service