Melhores práticas para a gestão e segurança de imagens de contentor no Azure Kubernetes Service (AKS)
A segurança de imagens de contentores e contentores é uma prioridade importante enquanto desenvolve e executa aplicações no Azure Kubernetes Service (AKS). Os contentores com imagens de base desatualizadas ou runtimes de aplicações não correspondentes introduzem um risco de segurança e um possível vetor de ataque.
Minimize os riscos ao integrar e executar ferramentas de análise e remediação nos seus contentores durante a compilação e o runtime. Quanto mais cedo detetar a vulnerabilidade ou a imagem de base desatualizada, mais seguro será o cluster.
Neste artigo, "contentores" significa ambos:
- As imagens de contentor armazenadas num registo de contentor.
- Os contentores em execução.
Este artigo centra-se em como proteger os seus contentores no AKS. Saiba como:
- Procure e remediar vulnerabilidades de imagens.
- Acionar e reimplementar automaticamente imagens de contentor quando uma imagem de base é atualizada.
Também pode ler as melhores práticas para a segurança do cluster e para a segurança do pod.
Também pode utilizar a Segurança do contentor no Defender para Cloud para ajudar a analisar os contentores quanto a vulnerabilidades. Azure Container Registry integração com o Defender para Cloud ajuda a proteger as imagens e o registo contra vulnerabilidades.
Proteger as imagens e o tempo de execução
Orientação de melhor prática
Analise as suas imagens de contentor quanto a vulnerabilidades. Implementar apenas imagens validadas. Atualize regularmente as imagens de base e o runtime da aplicação. Reimplementar cargas de trabalho no cluster do AKS.
Ao adotar cargas de trabalho baseadas em contentores, deverá verificar a segurança das imagens e do runtime utilizados para criar as suas próprias aplicações. Como pode evitar a introdução de vulnerabilidades de segurança nas suas implementações?
- Inclua no fluxo de trabalho de implementação um processo para analisar imagens de contentor com ferramentas como o Twistlock ou o Aqua.
- Permitir apenas a implementação de imagens verificadas.
Por exemplo, pode utilizar um pipeline de integração contínua e implementação contínua (CI/CD) para automatizar as análises, a verificação e as implementações de imagens. Azure Container Registry inclui estas capacidades de análise de vulnerabilidades.
Criar automaticamente novas imagens na atualização da imagem de base
Orientação de melhor prática
À medida que utiliza imagens de base para imagens de aplicação, utilize a automatização para criar novas imagens quando a imagem de base é atualizada. Uma vez que as imagens de base atualizadas incluem normalmente correções de segurança, atualize as imagens de contentor de aplicações a jusante.
Sempre que uma imagem de base é atualizada, também deve atualizar quaisquer imagens de contentor a jusante. Integre este processo de compilação em pipelines de validação e implementação, como o Azure Pipelines ou o Jenkins. Estes pipelines garantem que as aplicações continuam a ser executadas nas imagens baseadas em atualizações. Assim que as imagens do contentor da aplicação forem validadas, as implementações do AKS podem ser atualizadas para executar as imagens mais recentes e seguras.
Azure Container Registry Tarefas também podem atualizar automaticamente imagens de contentor quando a imagem de base é atualizada. Com esta funcionalidade, vai criar algumas imagens de base e mantê-las atualizadas com erros e correções de segurança.
Para obter mais informações sobre atualizações de imagens de base, veja Automatizar compilações de imagens na atualização de imagens de base com Azure Container Registry Tarefas.
Passos seguintes
Este artigo centrou-se em como proteger os seus contentores. Para implementar algumas destas áreas, veja os seguintes artigos: