Zabezpieczenia klastra i aplikacji

Zapoznaj się z podstawowymi elementami zabezpieczeń rozwiązania Kubernetes i przejrzyj bezpieczną konfigurację klastrów i wskazówek dotyczących zabezpieczeń aplikacji. Zabezpieczenia kubernetes są ważne w całym cyklu życia kontenera ze względu na rozproszony, dynamiczny charakter klastra Kubernetes. Aplikacje są tak bezpieczne, jak najsłabszy link w łańcuchu usług, które składają się na zabezpieczenia aplikacji.

Planowanie, szkolenie i dowód

Podczas rozpoczynania pracy lista kontrolna podstaw zabezpieczeń i zasoby zabezpieczeń platformy Kubernetes poniżej ułatwi planowanie operacji klastra i zabezpieczeń aplikacji. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytania:

• Czy sprawdzono model zabezpieczeń i zagrożeń klastrów Kubernetes?
• Czy klaster jest włączony na potrzeby kontroli dostępu opartej na rolach platformy Kubernetes?

Lista kontrolna zabezpieczeń:

• Zapoznaj się z oficjalny dokument o zabezpieczeniach. Głównymi celami bezpiecznego środowiska Kubernetes są zapewnienie, że uruchomione aplikacje są chronione, że problemy z zabezpieczeniami można zidentyfikować i rozwiązać szybko, a przyszłe podobne problemy zostaną zapobiegnie. Aby uzyskać więcej informacji, zobacz The Definitive Guide to Securing Kubernetes (oficjalny dokument).

• Przejrzyj konfigurację wzmacniania zabezpieczeń dla węzłów klastra. System operacyjny hosta ze wzmocnionymi zabezpieczeniami zmniejsza obszar narażony na ataki i umożliwia bezpieczne wdrażanie kontenerów. Aby dowiedzieć się więcej, zobacz Zabezpieczanie zabezpieczeń na hostach maszyn wirtualnych usługi AKS.

• Konfigurowanie kontroli dostępu opartej na rolach klastra Kubernetes (RBAC platformy Kubernetes). Ten mechanizm kontroli umożliwia przypisywanie użytkowników lub grup użytkowników, uprawnienia do wykonywania takich czynności jak tworzenie lub modyfikowanie zasobów lub wyświetlanie dzienników z uruchomionych obciążeń aplikacji.

  Aby uzyskać więcej informacji, zobacz

  • Omówienie kontroli dostępu opartej na rolach platformy Kubernetes (Kubernetes RBAC) (wideo)
    
  • Integrowanie identyfikatora Entra firmy Microsoft z usługą Azure Kubernetes Service
    
  • Ograniczanie dostępu do pliku konfiguracji klastra

Wdrażanie w środowisku produkcyjnym i stosowanie najlepszych rozwiązań w zakresie zabezpieczeń platformy Kubernetes

Podczas przygotowywania aplikacji do produkcji zaimplementuj minimalny zestaw najlepszych rozwiązań. Użyj tej listy kontrolnej na tym etapie. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytania:

• Czy skonfigurowaliśmy reguły zabezpieczeń sieci dla ruchu przychodzącego, ruchu wychodzącego i komunikacji wewnątrz zasobnika?
• Czy klaster jest skonfigurowany do automatycznego stosowania aktualizacji zabezpieczeń węzła?
• Czy uruchamiasz rozwiązanie do skanowania zabezpieczeń dla usług klastra i kontenera?

Lista kontrolna zabezpieczeń:

• Kontrolowanie dostępu do klastrów przy użyciu członkostwa w grupach. Skonfiguruj kontrolę dostępu opartą na rolach platformy Kubernetes (RBAC) platformy Kubernetes, aby ograniczyć dostęp do zasobów klastra na podstawie tożsamości użytkownika lub członkostwa w grupie. Aby uzyskać więcej informacji, zobacz Control access to cluster resources using Kubernetes RBAC and Microsoft Entra identities (Kontrola dostępu do zasobów klastra przy użyciu tożsamości RBAC platformy Kubernetes i tożsamości firmy Microsoft Entra).

• Utwórz zasady zarządzania wpisami tajnymi. Bezpieczne wdrażanie poufnych informacji, takich jak hasła i certyfikaty, oraz zarządzanie nimi przy użyciu zarządzania wpisami tajnymi na platformie Kubernetes. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania wpisami tajnymi na platformie Kubernetes (wideo).

• Zabezpieczanie ruchu sieciowego wewnątrz zasobnika za pomocą zasad sieciowych. Zastosuj zasadę najniższych uprawnień, aby kontrolować przepływ ruchu sieciowego między zasobnikami w klastrze. Aby uzyskać więcej informacji, zobacz Zabezpieczanie ruchu wewnątrz zasobnika za pomocą zasad sieciowych.

• Ogranicz dostęp do serwera interfejsu API przy użyciu autoryzowanych adresów IP. Zwiększ bezpieczeństwo klastra i zminimalizuj obszar ataków, ograniczając dostęp do serwera interfejsu API do ograniczonego zestawu zakresów adresów IP. Aby uzyskać więcej informacji, zobacz Bezpieczny dostęp do serwera interfejsu API.

• Ogranicz ruch wychodzący klastra. Dowiedz się, jakie porty i adresy mają być dozwolone, jeśli ograniczysz ruch wychodzący dla klastra. Za pomocą usługi Azure Firewall lub urządzenia zapory innej firmy można zabezpieczyć ruch wychodzący i zdefiniować te wymagane porty i adresy. Aby dowiedzieć się więcej, zobacz Kontrolowanie ruchu wychodzącego dla węzłów klastra w usłudze AKS.

• Zabezpieczanie ruchu za pomocą zapory aplikacji internetowej (WAF). Użyj bramy aplikacja systemu Azure jako kontrolera ruchu przychodzącego dla klastrów Kubernetes. Aby uzyskać więcej informacji, zobacz Konfigurowanie bramy aplikacja systemu Azure jako kontrolera ruchu przychodzącego.

• Stosowanie aktualizacji zabezpieczeń i jądra do węzłów roboczych. Omówienie środowiska aktualizacji węzła usługi AKS. Aby chronić klastry, aktualizacje zabezpieczeń są automatycznie stosowane do węzłów systemu Linux w usłudze AKS. Te aktualizacje obejmują poprawki zabezpieczeń systemu operacyjnego lub aktualizacje jądra. Niektóre z tych aktualizacji wymagają ponownego uruchomienia węzła w celu ukończenia procesu. Aby dowiedzieć się więcej, zobacz Używanie kured do automatycznego ponownego uruchamiania węzłów w celu stosowania aktualizacji.

• Konfigurowanie rozwiązania do skanowania kontenera i klastra. Skanuj kontenery wypychane do usługi Azure Container Registry i uzyskaj lepszy wgląd w węzły klastra, ruch w chmurze i mechanizmy kontroli zabezpieczeń.

  Aby uzyskać więcej informacji, zobacz:

  • Integracja usługi Azure Container Registry z usługą Defender dla Chmury
    
  • Integracja usługi Azure Kubernetes Service z usługą Defender dla Chmury

Optymalizowanie i skalowanie

Teraz, gdy aplikacja jest w środowisku produkcyjnym, jak można zoptymalizować przepływ pracy i przygotować aplikację i zespół do skalowania? Użyj listy kontrolnej optymalizacji i skalowania, aby przygotować się. Po zakończeniu tej sekcji będziesz w stanie odpowiedzieć na następujące pytanie:

• Czy można wymusić zasady ładu i klastra na dużą skalę?

Lista kontrolna zabezpieczeń:

• Wymuszanie zasad ładu klastra. Stosowanie wymuszania na dużą skalę i zabezpieczeń w klastrach w sposób scentralizowany i spójny. Aby dowiedzieć się więcej, zobacz Kontrolowanie wdrożeń za pomocą usługi Azure Policy.

• Okresowo obracaj certyfikaty klastra. Platforma Kubernetes używa certyfikatów do uwierzytelniania z wieloma składnikami. Możesz okresowo wymieniać te certyfikaty ze względów bezpieczeństwa lub zasad. Aby dowiedzieć się więcej, zobacz Rotacja certyfikatów w usłudze Azure Kubernetes Service (AKS).