Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ güvenliği, Kubernetes kümeleriniz için ek bir savunma katmanı sağlar. Bu makalede, trafik akışını denetlemek, iş yüklerini segmentlere ayırmak ve iletişimlerin korunmasına yardımcı olmak için ağ ilkelerinin, altyapı yapılandırmasının ve Azure'a özgü özelliklerin nasıl kullanılacağı açıklanır. Bu önlemlerin uygulanması saldırı yüzeyini azaltmaya ve kaynaklarınıza yetkisiz erişimi sınırlamaya yardımcı olur.
İş yüklerinize/iş yüklerinizden erişimi denetlemek için Kubernetes ağ ilkesini yapılandırma
Kümenizin iş yükü veri trafiğini TLS aracılığıyla korumaya yardımcı olmaya ek olarak, ağ ilkeleri oluşturarak daha fazla korumaya yardımcı olabilirsiniz. Bu ilkeler giriş isteklerinin alınabileceği podları, ad alanlarını ve IP adreslerini ve hangi çıkış isteklerinin gönderilebileceğini denetler. Bu ilkeleri zorunlu kılmak için bir Ağ İlkesi Altyapısı dağıtmanız gerekir. Kümenizde Calico veya Cillium altyapılarını kullanıp kullanamadığını değerlendirin.
Kaynaklar
- CIS Kubernetes Benchmark - Bölüm 1, 2 ve 4
- NIST Uygulama Kapsayıcısı Güvenlik Kılavuzu - Bölüm 4.5.1-3
- NSA Kubernetes Sağlamlaştırma Kılavuzu – "Ağ politikaları"
- Kubernetes Security - OWASP Bilgi Sayfası Serisi – "Trafiği denetlemek için Kubernetes ağ ilkelerini kullanın"
Daha ayrıntılı savunma için ağ altyapınızı yapılandırma
Ayrıca, temel altyapınızın ağını uygun şekilde yapılandırarak hem yönetim hem de veri trafiğiniz için daha ayrıntılı savunma oluşturabilirsiniz. Örneğin, Azure Yerel'de Azure Arc tarafından etkinleştirilen AKS kullanıyorsanız küme IP adresi planlaması kılavuzunu gözden geçirmeniz gerekir. İş yüklerinizin API sunucusuna erişmesi gerekmiyorsa yönetim ve veri trafiğini tamamen ayırmayı göz önünde bulundurun.
Ayrıca kuruluşunuzun dış güvenlik duvarı kurallarını, Kubernetes ve altyapı katmanlarında belirlediğiniz kurallarla tutarlı olacak şekilde değerlendirmenizi öneririz. Yalnızca kesinlikle gerekli olan giden ve gelen hedefleri etkinleştirin, başka bir şey değil. Kümenizin Azure kaynaklarına erişimini etkinleştirmek için gereken güvenlik duvarı kurallarını basitleştirmek için Azure Arc Gateway'i (önizleme) de kullanabilirsiniz.
Kaynaklar
- NIST Uygulama Kapsayıcısı Güvenlik Kılavuzu - Bölüm 4.3.3, 4.3.4 ve 4.4.2
- NSA Kubernetes Sağlamlaştırma Kılavuzu – "Kontrol düzlemi sağlamlaştırma"
Azure kaynaklarına erişmek için Azure Özel Bağlantı (önizleme) kullanma
TLS ve İş Yükü Kimlik Federasyonu ile Azure'a gelen trafiğinizin korunmasına yardımcı olmaya ek olarak, Arc özellikli kümeler için Azure Özel Bağlantı (önizleme) kullanmayı da göz önünde bulundurun. Bu özellik, Azure Arc ve Azure Key Vault gibi diğer hizmetler için bulut sanal ağınızda özel uç noktaları ayarlar. Bu ağ daha sonra siteden siteye VPN veya ExpressRoute bağlantı hattı kullanılarak şirket içinize bağlanabilir. Bu çözümün size uygun olup olmadığını belirlemek için avantajları ve geçerli sınırlamaları değerlendirin.
Sonraki Adımlar
- Bu güvenlik defterinin en üstüne dön