Metodtips för hantering och säkerhet av containeravbildningar i Azure Kubernetes Service (AKS)

Säkerhet för container- och containeravbildningar är en viktig prioritet när du utvecklar och kör program i Azure Kubernetes Service (AKS). Containrar med inaktuella basavbildningar eller okopplade programkörningar medför säkerhetsrisker och möjliga attackvektorer. Du kan minimera dessa risker genom att integrera och köra genomsöknings- och reparationsverktyg i dina containrar vid kompilering och körning. Ju tidigare du fångar sårbarheten eller den inaktuella basavbildningen, desto säkrare är ditt program.

I den här artikeln refererar "containrar" till både containeravbildningarna som lagras i ett containerregister och containrar som körs.

Den här artikeln fokuserar på hur du skyddar dina containrar i AKS. Du lär dig att:

• Sök efter och åtgärda sårbarheter i avbildningen.
• Utlös och distribuera om containeravbildningar automatiskt när en basavbildning uppdateras.

• Du kan läsa metodtipsen för klustersäkerhet och poddsäkerhet.
• Du kan använda containersäkerhet i Defender för molnet för att söka igenom dina containrar efter säkerhetsrisker. Azure Container Registry-integrering med Defender för molnet skyddar dina avbildningar och register från sårbarheter.

Skydda avbildningarna och körningen

Vägledning för bästa praxis

• Sök igenom containeravbildningarna efter säkerhetsrisker.
• Distribuera endast verifierade avbildningar.
• Uppdatera regelbundet basavbildningarna och programkörningen.
• Distribuera om arbetsbelastningar i AKS-klustret.

När du använder containerbaserade arbetsbelastningar vill du kontrollera säkerheten för avbildningar och körning som används för att skapa egna program. För att undvika att införa säkerhetsrisker i dina distributioner kan du använda följande metodtips:

• Inkludera i ditt distributionsarbetsflöde en process för att skanna containeravbildningar med hjälp av verktyg, till exempel Twistlock eller Aqua.
• Tillåt endast att verifierade avbildningar distribueras.

Du kan till exempel använda en CI/CD-pipeline (kontinuerlig integrering och kontinuerlig distribution) för att automatisera avbildningsgenomsökningar, verifiering och distributioner. Azure Container Registry innehåller dessa sårbarhetsgenomsökningsfunktioner.

Skapa nya avbildningar automatiskt vid basavbildningsuppdatering

Vägledning för bästa praxis

När du använder basavbildningar för programavbildningar använder du automation för att skapa nya avbildningar när basavbildningen uppdateras. Eftersom uppdaterade basavbildningar vanligtvis innehåller säkerhetskorrigeringar uppdaterar du eventuella underordnade programcontaineravbildningar.

Varje gång en basavbildning uppdateras bör du även uppdatera eventuella underordnade containeravbildningar. Integrera den här byggprocessen i validerings- och distributionspipelines som Azure Pipelines eller Jenkins. Dessa pipelines ser till att dina program fortsätter att köras på de uppdaterade baserade avbildningarna. När dina programcontaineravbildningar har verifierats kan du uppdatera AKS-distributioner för att köra de senaste säkra avbildningarna.

Azure Container Registry Tasks kan också automatiskt uppdatera containeravbildningar när basavbildningen uppdateras. Med den här funktionen skapar du några basavbildningar och håller dem uppdaterade med fel- och säkerhetskorrigeringar.

Mer information om basavbildningsuppdateringar finns i Automatisera avbildningsversioner vid basavbildningsuppdatering med Azure Container Registry Tasks.

Nästa steg

Den här artikeln fokuserar på hur du skyddar dina containrar. Om du vill implementera några av dessa områden kan du läsa följande artikel:

• Automatisera avbildningsversioner på basavbildningsuppdatering med Azure Container Registry-uppgifter