Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ознакомьтесь с основными компонентами безопасности Kubernetes и ознакомьтесь с рекомендациями по обеспечению безопасности кластеров и приложений. Безопасность Kubernetes важна на протяжении всего жизненного цикла контейнера из-за распределенной динамической природы кластера Kubernetes. Приложения надёжны настолько, насколько надёжен самый слабый элемент в цепочке служб, обеспечивающих безопасность приложения.
Планирование, обучение и подтверждение
При начале работы контрольный список безопасности и ресурсы безопасности Kubernetes ниже помогут вам спланировать операции кластера и безопасность приложений. В конце этого раздела вы сможете ответить на следующие вопросы:
- Вы изучили модель безопасности и угрозы кластеров Kubernetes?
- Активирован ли ваш кластер для управления доступом на основе ролей в Kubernetes?
Контрольный список безопасности:
Ознакомьтесь с технической документацией по безопасности. Основные цели безопасной среды Kubernetes обеспечивают защиту приложений, которые он выполняет, что проблемы безопасности можно определить и устранить быстро, и что будущие аналогичные проблемы будут предотвращаться. Дополнительные сведения см. в
The Definitive Guide to Securing Kubernetes(белой книге).Просмотрите настройку защиты системы безопасности для узлов кластера. Укрепленная хостовая операционная система уменьшает область атаки и позволяет безопасно развертывать контейнеры. Дополнительные сведения см. в разделе "Защита безопасности" на узлах виртуальных машин AKS.
Настройка управления доступом на основе ролей кластера Kubernetes (Kubernetes RBAC). Этот механизм управления позволяет назначать пользователей или группы пользователей, выполнять такие действия, как создание или изменение ресурсов, или просматривать журналы из рабочих нагрузок приложений.
Для получения дополнительной информации см. раздел
Развертывание в рабочей среде и применение рекомендаций по обеспечению безопасности Kubernetes
При подготовке приложения к рабочей среде реализуйте минимальный набор рекомендаций. Используйте этот контрольный список на этом этапе. В конце этого раздела вы сможете ответить на следующие вопросы:
- Вы настроили правила безопасности сети для входящего трафика, исходящего трафика и взаимодействия внутри под?
- Настроен ли кластер для автоматического применения обновлений безопасности узла?
- Вы используете решение для сканирования безопасности для ваших кластерных и контейнерных служб?
Контрольный список безопасности:
Управление доступом к кластерам с помощью членства в группах. Настройте управление доступом на основе ролей Kubernetes (Kubernetes RBAC), чтобы ограничить доступ к ресурсам кластера на основе удостоверений пользователя или членства в группах. Дополнительные сведения см. в разделе "Управление доступом к ресурсам кластера" с помощью RBAC Kubernetes и удостоверений Microsoft Entra.
Создайте политику управления секретами. Безопасно развертывайте конфиденциальную информацию и управляйте ими, например пароли и сертификаты, с помощью управления секретами в Kubernetes. Дополнительные сведения см. в разделе "Общие сведения об управлении секретами" в Kubernetes (видео).
Защищайте сетевой трафик внутри пода с помощью сетевых политик. Используйте принцип наименьшей привилегии, чтобы управлять потоком сетевого трафика между подами в кластере. Для получения дополнительной информации см. раздел "Защита внутриподового трафика с помощью сетевых политик".
Ограничить доступ к серверу API с помощью авторизованных IP-адресов. Повышение безопасности кластера и минимизация атак путем ограничения доступа к серверу API ограниченному набору диапазонов IP-адресов. Дополнительные сведения см. в разделе "Безопасный доступ к серверу API".
Ограничьте исходящий трафик кластера. Узнайте, какие порты и адреса следует разрешить в случае ограничения исходящего трафика кластера. Брандмауэр Azure или стороннее устройство брандмауэра можно использовать, чтобы защитить исходящий трафик и определить эти необходимые порты и адреса. Дополнительные сведения см. в разделе "Управление исходящим трафиком" для узлов кластера в AKS.
Безопасный трафик с помощью брандмауэра веб-приложения (WAF). Используйте Шлюз приложений Azure в качестве контроллера входящего трафика для кластеров Kubernetes. Дополнительные сведения см. в разделе "Настройка шлюза приложений Azure в качестве контроллера входящего трафика".
Примените обновления безопасности и ядра к рабочим узлам. Общие сведения об обновлении узла AKS. To protect your clusters, security updates are automatically applied to Linux nodes in AKS. Эти обновления включают исправления безопасности ОС или обновления ядра. Чтобы завершить установку некоторых обновлений, нужно перезагрузить узел. Дополнительные сведения см. в статье "Использование kured для автоматической перезагрузки узлов и применения обновлений".
Настройте решение для сканирования контейнеров и кластеров. Сканируйте контейнеры, отправленные в реестр контейнеров Azure, и получите более глубокую видимость для узлов кластера, облачного трафика и элементов управления безопасностью.
Дополнительные сведения можно найти здесь
Оптимизация и масштабирование
Теперь, когда приложение находится в рабочей среде, как оптимизировать рабочий процесс и подготовить приложение и команду для масштабирования? Используйте контрольный список оптимизации и масштабирования для подготовки. В конце этого раздела вы сможете ответить на этот вопрос:
- Можно ли применять политики управления кластером в масштабе?
Контрольный список безопасности:
Применение политик управления кластерами. Масштабно применяйте меры и механизмы безопасности для кластеров в централизованном и согласованном порядке. Дополнительные сведения см. в статье "Управление развертываниями с помощью политики Azure".
Периодически поворачивайте сертификаты кластера. Kubernetes использует сертификаты для аутентификации с многими из своих компонентов. Возможно, вы хотите периодически сменить эти сертификаты по соображениям безопасности или политики. Дополнительные сведения см. в статье "Смена сертификатов" в службе Azure Kubernetes (AKS).