Kluster- och programsäkerhet
Bekanta dig med Kubernetes säkerhetsinformation och granska den säkra konfigurationen för kluster och vägledning för programsäkerhet. Kubernetes-säkerhet är viktigt under hela containerns livscykel på grund av den distribuerade dynamiska karaktären hos ett Kubernetes-kluster. Program är bara lika säkra som den svagaste länken i tjänstkedjan som utgör programmets säkerhet.
Planera, träna och bevis
När du kommer igång hjälper checklistan för säkerhetsinformation och Kubernetes-säkerhetsresurserna nedan dig att planera för klusteråtgärder och programsäkerhet. I slutet av det här avsnittet kan du svara på följande frågor:
- Har du granskat säkerhets- och hotmodellen för Kubernetes-kluster?
- Är klustret aktiverat för rollbaserad Åtkomstkontroll i Kubernetes?
Säkerhetschecklista:
Bekanta dig med vitboken säkerhet essentials. De främsta målen med en säker Kubernetes-miljö är att säkerställa att de program som körs skyddas, att säkerhetsproblem kan identifieras och åtgärdas snabbt och att framtida liknande problem förhindras. Mer information finns i
The Definitive Guide to Securing Kubernetes
(white paper).Granska säkerhetshärdningskonfigurationen för klusternoderna. Ett säkerhetshärdat värdoperativsystem minskar attackytan och gör det möjligt att distribuera containrar på ett säkert sätt. Mer information finns i Säkerhetshärdning i värdar för virtuella AKS-datorer.
Konfigurera kubernetes-rollbaserad åtkomstkontroll (Kubernetes RBAC). Med den här kontrollmekanismen kan du tilldela användare, eller grupper av användare, behörighet att göra saker som att skapa eller ändra resurser eller visa loggar från programarbetsbelastningar som körs.
Mer information finns här
Distribuera till produktion och tillämpa metodtips för Kubernetes-säkerhet
När du förbereder programmet för produktion implementerar du en minsta uppsättning metodtips. Använd den här checklistan i det här skedet. I slutet av det här avsnittet kan du svara på följande frågor:
- Har du konfigurerat nätverkssäkerhetsregler för inkommande kommunikation, utgående kommunikation och kommunikation mellan poddar?
- Är klustret konfigurerat för att automatiskt tillämpa nodsäkerhetsuppdateringar?
- Kör du en säkerhetsgenomsökningslösning för dina kluster- och containertjänster?
Säkerhetschecklista:
Kontrollera åtkomsten till kluster med hjälp av gruppmedlemskap. Konfigurera Rollbaserad åtkomstkontroll för Kubernetes (Kubernetes RBAC) för att begränsa åtkomsten till klusterresurser baserat på användaridentitet eller gruppmedlemskap. Mer information finns i Kontrollera åtkomsten till klusterresurser med kubernetes RBAC- och Microsoft Entra-identiteter.
Skapa en princip för hantering av hemligheter. Distribuera och hantera känslig information på ett säkert sätt, till exempel lösenord och certifikat, med hjälp av hantering av hemligheter i Kubernetes. Mer information finns i Förstå hantering av hemligheter i Kubernetes (video).
Skydda nätverkstrafik mellan poddar med nätverksprinciper. Tillämpa principen om minsta behörighet för att styra nätverkstrafikflödet mellan poddar i klustret. Mer information finns i Skydda trafik inom podden med nätverksprinciper.
Begränsa åtkomsten till API-servern med hjälp av auktoriserade IP-adresser. Förbättra klustersäkerheten och minimera attackytan genom att begränsa åtkomsten till API-servern till en begränsad uppsättning IP-adressintervall. Mer information finns i Säker åtkomst till API-servern.
Begränsa utgående klustertrafik. Lär dig vilka portar och adresser som ska tillåtas om du begränsar utgående trafik för klustret. Du kan använda Azure Firewall eller en brandväggsinstallation från tredje part för att skydda din utgående trafik och definiera de portar och adresser som krävs. Mer information finns i Kontrollera utgående trafik för klusternoder i AKS.
Skydda trafik med brandväggen för webbaserade program (WAF). Använd Azure Application Gateway som ingresskontrollant för Kubernetes-kluster. Mer information finns i Konfigurera Azure Application Gateway som en ingresskontrollant.
Tillämpa säkerhets- och kerneluppdateringar på arbetsnoder. Förstå uppdateringsupplevelsen för AKS-noder. För att skydda dina kluster tillämpas säkerhetsuppdateringar automatiskt på Linux-noder i AKS. Dessa uppdateringar omfattar os-säkerhetskorrigeringar eller kerneluppdateringar. Vissa av dessa uppdateringar kräver en omstart av noden för att slutföra processen. Mer information finns i Använda kured för att automatiskt starta om noder för att tillämpa uppdateringar.
Konfigurera en container- och klustergenomsökningslösning. Genomsök containrar som skickas till Azure Container Registry och få djupare insyn i dina klusternoder, molntrafik och säkerhetskontroller.
Mer information finns i:
Optimera och skala
Hur kan du optimera arbetsflödet och förbereda ditt program och team för skalning nu när programmet är i produktion? Använd checklistan för optimering och skalning för att förbereda. I slutet av det här avsnittet kan du besvara den här frågan:
- Kan du tillämpa styrnings- och klusterprinciper i stor skala?
Säkerhetschecklista:
Framtvinga principer för klusterstyrning. Tillämpa tvingande och skydd i stor skala på dina kluster på ett centraliserat och konsekvent sätt. Mer information finns i Kontrollera distributioner med Azure Policy.
Rotera klustercertifikat med jämna mellanrum. Kubernetes använder certifikat för autentisering med många av dess komponenter. Du kanske regelbundet vill rotera dessa certifikat av säkerhetsskäl eller principskäl. Mer information finns i Rotera certifikat i Azure Kubernetes Service (AKS).