Udostępnij za pośrednictwem


Zabezpieczenia klastra i aplikacji

Zapoznaj się z podstawowymi elementami zabezpieczeń rozwiązania Kubernetes i przejrzyj bezpieczną konfigurację klastrów i wskazówek dotyczących zabezpieczeń aplikacji. Zabezpieczenia kubernetes są ważne w całym cyklu życia kontenera ze względu na rozproszony, dynamiczny charakter klastra Kubernetes. Aplikacje są tak bezpieczne, jak najsłabszy link w łańcuchu usług, które składają się na zabezpieczenia aplikacji.

Planowanie, szkolenie i dowód

Podczas rozpoczynania pracy lista kontrolna podstaw zabezpieczeń i zasoby zabezpieczeń platformy Kubernetes poniżej ułatwi planowanie operacji klastra i zabezpieczeń aplikacji. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytania:

  • Czy sprawdzono model zabezpieczeń i zagrożeń klastrów Kubernetes?
  • Czy klaster jest włączony na potrzeby kontroli dostępu opartej na rolach platformy Kubernetes?

Lista kontrolna zabezpieczeń:

Wdrażanie w środowisku produkcyjnym i stosowanie najlepszych rozwiązań w zakresie zabezpieczeń platformy Kubernetes

Podczas przygotowywania aplikacji do produkcji zaimplementuj minimalny zestaw najlepszych rozwiązań. Użyj tej listy kontrolnej na tym etapie. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytania:

  • Czy skonfigurowaliśmy reguły zabezpieczeń sieci dla ruchu przychodzącego, ruchu wychodzącego i komunikacji wewnątrz zasobnika?
  • Czy klaster jest skonfigurowany do automatycznego stosowania aktualizacji zabezpieczeń węzła?
  • Czy uruchamiasz rozwiązanie do skanowania zabezpieczeń dla usług klastra i kontenera?

Lista kontrolna zabezpieczeń:

  • Kontrolowanie dostępu do klastrów przy użyciu członkostwa w grupach. Skonfiguruj kontrolę dostępu opartą na rolach platformy Kubernetes (RBAC) platformy Kubernetes, aby ograniczyć dostęp do zasobów klastra na podstawie tożsamości użytkownika lub członkostwa w grupie. Aby uzyskać więcej informacji, zobacz Control access to cluster resources using Kubernetes RBAC and Microsoft Entra identities (Kontrola dostępu do zasobów klastra przy użyciu tożsamości RBAC platformy Kubernetes i tożsamości firmy Microsoft Entra).

  • Utwórz zasady zarządzania wpisami tajnymi. Bezpieczne wdrażanie poufnych informacji, takich jak hasła i certyfikaty, oraz zarządzanie nimi przy użyciu zarządzania wpisami tajnymi na platformie Kubernetes. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania wpisami tajnymi na platformie Kubernetes (wideo).

  • Zabezpieczanie ruchu sieciowego wewnątrz zasobnika za pomocą zasad sieciowych. Zastosuj zasadę najniższych uprawnień, aby kontrolować przepływ ruchu sieciowego między zasobnikami w klastrze. Aby uzyskać więcej informacji, zobacz Zabezpieczanie ruchu wewnątrz zasobnika za pomocą zasad sieciowych.

  • Ogranicz dostęp do serwera interfejsu API przy użyciu autoryzowanych adresów IP. Zwiększ bezpieczeństwo klastra i zminimalizuj obszar ataków, ograniczając dostęp do serwera interfejsu API do ograniczonego zestawu zakresów adresów IP. Aby uzyskać więcej informacji, zobacz Bezpieczny dostęp do serwera interfejsu API.

  • Ogranicz ruch wychodzący klastra. Dowiedz się, jakie porty i adresy mają być dozwolone, jeśli ograniczysz ruch wychodzący dla klastra. Za pomocą usługi Azure Firewall lub urządzenia zapory innej firmy można zabezpieczyć ruch wychodzący i zdefiniować te wymagane porty i adresy. Aby dowiedzieć się więcej, zobacz Kontrolowanie ruchu wychodzącego dla węzłów klastra w usłudze AKS.

  • Zabezpieczanie ruchu za pomocą zapory aplikacji internetowej (WAF). Użyj bramy aplikacja systemu Azure jako kontrolera ruchu przychodzącego dla klastrów Kubernetes. Aby uzyskać więcej informacji, zobacz Konfigurowanie bramy aplikacja systemu Azure jako kontrolera ruchu przychodzącego.

  • Stosowanie aktualizacji zabezpieczeń i jądra do węzłów roboczych. Omówienie środowiska aktualizacji węzła usługi AKS. Aby chronić klastry, aktualizacje zabezpieczeń są automatycznie stosowane do węzłów systemu Linux w usłudze AKS. Te aktualizacje obejmują poprawki zabezpieczeń systemu operacyjnego lub aktualizacje jądra. Niektóre z tych aktualizacji wymagają ponownego uruchomienia węzła w celu ukończenia procesu. Aby dowiedzieć się więcej, zobacz Używanie kured do automatycznego ponownego uruchamiania węzłów w celu stosowania aktualizacji.

  • Konfigurowanie rozwiązania do skanowania kontenera i klastra. Skanuj kontenery wypychane do usługi Azure Container Registry i uzyskaj lepszy wgląd w węzły klastra, ruch w chmurze i mechanizmy kontroli zabezpieczeń.

    Aby uzyskać więcej informacji, zobacz:

Optymalizowanie i skalowanie

Teraz, gdy aplikacja jest w środowisku produkcyjnym, jak można zoptymalizować przepływ pracy i przygotować aplikację i zespół do skalowania? Użyj listy kontrolnej optymalizacji i skalowania, aby przygotować się. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytanie:

  • Czy można wymusić zasady ładu i klastra na dużą skalę?

Lista kontrolna zabezpieczeń: