Práticas recomendadas para gerenciamento de imagens de contêiner e a segurança no Serviço de Kubernetes do Azure (AKS)
A segurança de contêineres e imagens de contêineres é uma das principais prioridades ao desenvolver e executar aplicativos no Azure Kubernetes Service (AKS). Os contêineres com imagens de base desatualizadas ou runtimes de aplicativos não corrigidos apresentam riscos de segurança e possíveis vetores de ataque. Você pode minimizar esses riscos integrando e executando ferramentas de verificação e correção nos seus contêineres durante a criação e o runtime. Quanto mais cedo você identificar a vulnerabilidade ou a imagem de base desatualizada, mais seguro será o seu aplicativo.
Neste artigo, "contêineres" refere-se tanto às imagens de contêineres armazenadas em um registro de contêineres e à execução de contêineres.
Este artigo se concentra em como proteger seus contêineres do AKS. Você aprenderá como:
- Verificar e corrigir as vulnerabilidades de imagem.
- Disparar e reimplantar as imagens de contêiner quando uma imagem base é atualizada automaticamente.
- Você pode ler as práticas recomendadas para segurança do cluster e segurança do pod.
- Você pode usar a Segurança de contêineres no Defender para Nuvem para ajudar a verificar se há vulnerabilidades em seus contêineres. A integração do Registro de Contêiner do Azure com o Defender para Nuvem ajuda a proteger suas imagens e o seu registro contra vulnerabilidades.
Proteger as imagens e o runtime
Orientação de melhor prática
- Verificar se há vulnerabilidades nas suas imagens de contêiner.
- Implantar apenas imagens validadas.
- Atualizar regularmente as imagens base e o runtime do aplicativo.
- Reimplantar as cargas de trabalho no cluster do AKS.
Ao adotar cargas de trabalho baseadas em contêineres, você deseja verificar a segurança das imagens e do runtime utilizados para criar seus próprios aplicativos. Para ajudar a evitar a introdução de vulnerabilidades de segurança nas suas implantações, você pode usar as práticas recomendadas a seguir:
- Inclua no seu fluxo de trabalho de implantação um processo de verificação de imagens de contêineres usando ferramentas, como Twistlock ou Aqua.
- Permitir que apenas as imagens verificadas sejam implantadas.
Por exemplo, você pode usar um pipeline de implantação contínua (CI/CD) e integração contínua para automatizar as verificações de imagem, verificação e implantações. O Registro de Contêiner do Azure inclui esses recursos de verificação de vulnerabilidades.
Crie automaticamente novas imagens na atualização da imagem base
Orientação de melhor prática
Conforme você usar imagens de base para imagens de aplicativo, use a automação para criar novas imagens quando a imagem base é atualizada. Como imagens base atualizadas geralmente incluem correções de segurança, atualize as imagens do contêiner do aplicativo downtream.
Cada vez que uma imagem base é atualizada, você deve atualizar também todas as imagens de contêiner do downstream. Integre esse processo de compilação à validação e aos pipelines de implantação, como Pipelines do Azure ou do Jenkins. Esses pipelines garantem que seus aplicativos continuem a ser executados nas imagens baseadas em atualizações. Após a validação das imagens do contêiner do aplicativo, é possível atualizar as implantações do AKS para executar as imagens seguras mais recentes.
Tarefas do Registro de Contêiner do Azure também atualizam automaticamente as imagens de contêiner quando a imagem base é atualizada. Com este recurso, você compila algumas imagens base e as mantêm atualizadas com correções de bug e segurança.
Para obter mais informações sobre a imagem base, consulte Automatizar builds de imagem na atualização da imagem base com as Tarefas do Registro de Contêiner do Azure.
Próximas etapas
Este artigo se concentrou em como proteger seus contêineres. Para implementar algumas dessas áreas, consulte o artigo a seguir: