Aracılığıyla paylaş

Azure Kubernetes Service'de (AKS) kapsayıcı görüntüsü yönetimi ve güvenliği için en iyi yöntemler

  • Makale

Azure Kubernetes Service(AKS) içinde uygulama geliştirme ve çalıştırma sırasında kapsayıcı ve kapsayıcı görüntüsü güvenliği önemli bir önceliktir. Güncel olmayan temel görüntüleri veya eşleşmeyen uygulama çalışma zamanlarını içeren kapsayıcılar güvenlik riskleri ve olası saldırı vektörleri sunar. Derleme ve çalışma zamanında kapsayıcılarınızda tarama ve düzeltme araçlarını tümleştirip çalıştırarak bu riskleri en aza indirebilirsiniz. Güvenlik açığını veya güncel olmayan temel görüntüyü ne kadar erken yakalarsanız, uygulamanız o kadar güvenli olur.

Bu makalede , "kapsayıcılar" hem kapsayıcı kayıt defterinde depolanan kapsayıcı görüntülerini hem de çalışan kapsayıcıları ifade eder.

Bu makalede AKS'de kapsayıcılarınızın güvenliğini sağlama konusuna odaklanmaktadır. Aşağıdakileri nasıl yapacağınızı öğrenirsiniz:

  • Görüntü güvenlik açıklarını tarayın ve düzeltin.
  • Temel görüntü güncelleştirildiğinde kapsayıcı görüntülerini otomatik olarak tetikleyin ve yeniden dağıtın.

Görüntülerin ve çalışma zamanının güvenliğini sağlama

En iyi yöntem kılavuzu

  • Kapsayıcı görüntülerinizi güvenlik açıkları için tarayın.
  • Yalnızca doğrulanmış görüntüleri dağıtın.
  • Temel görüntüleri ve uygulama çalışma zamanını düzenli olarak güncelleştirin.
  • AKS kümesindeki iş yüklerini yeniden dağıtın.

Kapsayıcı tabanlı iş yüklerini benimserken, kendi uygulamalarınızı oluşturmak için kullanılan görüntülerin ve çalışma zamanının güvenliğini doğrulamak istiyorsunuz. Dağıtımlarınıza güvenlik açıklarının getirilmesini önlemeye yardımcı olmak için aşağıdaki en iyi yöntemleri kullanabilirsiniz:

  • Dağıtım iş akışınıza Twistlock veya Aqua gibi araçları kullanarak kapsayıcı görüntülerini tarama işlemini ekleyin.
  • Yalnızca doğrulanmış görüntülerin dağıtılması için izin verin.

Kapsayıcı görüntülerini tarama ve düzeltme, doğrulama ve dağıtma

Örneğin, görüntü taramalarını, doğrulamayı ve dağıtımları otomatikleştirmek için sürekli tümleştirme ve sürekli dağıtım (CI/CD) işlem hattı kullanabilirsiniz. Azure Container Registry bu güvenlik açıklarını tarama özelliklerini içerir.

Temel görüntü güncelleştirmesinde yeni görüntüleri otomatik olarak oluşturma

En iyi yöntem kılavuzu

Uygulama görüntüleri için temel görüntüleri kullanırken, temel görüntü güncelleştirildiğinde yeni görüntüler oluşturmak için otomasyonu kullanın. Güncelleştirilmiş temel görüntüler genellikle güvenlik düzeltmeleri içerdiğinden, aşağı akış uygulama kapsayıcı görüntülerini güncelleştirin.

Temel görüntü her güncelleştirildiğinde, aşağı akış kapsayıcı görüntülerini de güncelleştirmeniz gerekir. Bu derleme işlemini Azure Pipelines veya Jenkins gibi doğrulama ve dağıtım işlem hatlarıyla tümleştirin. Bu işlem hatları, uygulamalarınızın güncelleştirilmiş tabanlı görüntülerde çalışmaya devam etmesini sağlar. Uygulama kapsayıcı görüntüleriniz doğrulandıktan sonra AKS dağıtımlarını en son güvenli görüntüleri çalıştıracak şekilde güncelleştirebilirsiniz.

Azure Container Registry Görevler, temel görüntü güncelleştirildiğinde kapsayıcı görüntülerini de otomatik olarak güncelleştirebilir. Bu özellik sayesinde birkaç temel görüntü oluşturup hata ve güvenlik düzeltmeleriyle bunların güncel kalmasını sağlarsınız.

Temel görüntü güncelleştirmeleri hakkında daha fazla bilgi için bkz. Azure Container Registry Görevler ile temel görüntü güncelleştirmesinde görüntü derlemelerini otomatikleştirme.

Sonraki adımlar

Bu makalede kapsayıcılarınızın güvenliğini sağlama konusu ele alındı. Bu alanlardan bazılarını uygulamak için aşağıdaki makaleye bakın: