Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Platformunuzun güvenliğini sağlamak, Kubernetes ortamınızın genel güvenliğini iyileştirmenin temelini oluşturur. Bu makalede Kubernetes kümenizi, temel işletim sistemini ve donanım altyapısını daha güvenli çalışacak şekilde yapılandırmaya odaklanmaktadır. Yerleşik özelliklerden yararlanarak ve en iyi yöntemleri izleyerek platformunuzun tehditlere karşı daha dayanıklı olduğundan ve iş yükleriniz ve işlemleriniz için daha güçlü bir temel sağladığınızdan emin olmanıza yardımcı olabilirsiniz.
En son güvenlik düzeltme ekleriyle güncel kalın
Kümenizin ve düğüm işletim sistemlerinizin, yayımlandıkça güncel güvenlik yamalarıyla yükseltilmesini öneririz. Buna karşılık bu, kümenizi desteklenen bir Kubernetes sürümüyle güncel tutmanın önemli olduğu ve düzeltme eklerinin yayınlandığı anlamına gelir. Benzer şekilde, düğümlerinizi işletim sisteminin desteklenen sürümüyle güncel tutmak da önemlidir.
Azure Arc tarafından etkinleştirilen AKS'yi Azure Yerel'de kullanıyorsanız bu tür yükseltmeleri kolayca uygulayabilirsiniz. Azure Yerel'in kendisini yükseltmek de kolaydır.
Arc özellikli Kubernetes aracılığıyla kendi kümenizi bağlarsanız, satıcınızın yönergelerini izleyerek kümeyi güncel tutun ve kümenin Azure bağlantısını koruyan Arc özellikli Kubernetes aracıları için otomatik yükseltmeleri yapılandırın .
Uzantıları kümenize de dağıtabilirsiniz : Bu güvenlik kitabının diğer bölümlerinde, bu uzantıların getirebileceği güvenlik avantajları için bu uzantıların birçoğu önerilir. Öyleyse, bu uzantılar için de otomatik yükseltmeleri yapılandırın.
Kaynaklar
- NSA Kubernetes Sağlamlaştırma Kılavuzu – "Yükseltme ve uygulama güvenliği düzeltme ekleri"
- Kubernetes Security - OWASP Bilgi Sayfası Serisi – "Kubernetes Konaklarının Güvenliğini Sağlama"
Denetim düzlemi ve çalışan düğümlerinde güvenlik korumalarını yapılandırma
Azure Yerel üzerinde Azure Arc tarafından etkinleştirilen AKS, denetim düzlemini ve çalışan düğümlerini daha güvenli varsayılanlarla otomatik olarak yapılandırıyor. Temel donanımda, Windows ana bilgisayar işletim sisteminde ve Linux VM düğümlerinde ve dosya sisteminde uygun güvenlik özelliklerini etkinleştirir. Bu platformun güvenliğini sağlama hakkında daha fazla bilgi edinmek için Azure Yerel güvenlik kitabını okuyun. Azure Arc tarafından etkinleştirilen AKS'nin kapsayıcı konağı olarak kullandığı Azure Linux işletim sisteminin avantajlarını da gözden geçirebilirsiniz.
Arc özellikli Kubernetes üzerinden kendi kümenizi bağlarsanız, satıcınızın donanım, işletim sistemi ve Kubernetes altyapısında güvenli varsayılanları otomatik olarak yapılandırmak için benzer şekilde yardımcı olabileceğini doğrulayın. Donanım tabanlı güven kökü, güvenli önyükleme ve sürücü şifrelemesi gibi uygun özelliklere sahip olup olmadığını değerlendirin. Ayrıca Uç Nokta için Microsoft Defender'ın küme düğümlerinizi daha fazla korumaya yardımcı olup olmadığını da göz önünde bulundurun.
Ayrıca, kümeniz tam olarak Microsoft tarafından yönetilir veya kendi kümenizi bağlarsanız Kapsayıcılar için Microsoft Defender'ı kullanabilirsiniz. Kubernetes düğümlerinizin durumunu değerlendirmenize ve sorunları size bildirmenize yardımcı olur. Hangi düzeyde hangi küme türlerinin (önizleme veya genel kullanılabilirlik) desteklendiği özelliklerin destek matrisini inceleyin.
Kaynaklar
- CIS Kubernetes Benchmark - Bölüm 1, 2 ve 4
- NIST Uygulama Kapsayıcısı Güvenlik Kılavuzu - Bölüm 4.5.1-3
Kubernetes kontrol düzlemi bileşenleri arasındaki iletişimi koruma
Azure Arc tarafından etkinleştirilen AKS'yi Azure Yerel'de çalıştırıyorsanız, API sunucusu ve vb. gibi denetim düzlemi bileşenleri arasındaki tüm düğümler arası iletişimi korumaya yardımcı olmak için Aktarım Katmanı Güvenliği (TLS) kullanılır. TLS sertifikaları düzenli olarak döndürülür.
Arc özellikli Kubernetes aracılığıyla kendi kümenizi bağlarsanız düğümleriniz arasındaki trafiğin benzer şekilde korunup korunmadığını belirleyin. Satıcınızın yönergelerini izleyerek bu korumayı (örneğin, sertifika oluşturma ve güncelleştirme) etkinleştirmek için uygulamanız gereken adımlar olup olmadığını değerlendirin.
Kaynaklar
- NIST Uygulama Kapsayıcısı Güvenlik Kılavuzu - Bölüm 4.3.5
- NSA Kubernetes Sağlamlaştırma Kılavuzu – "Şifreleme"
- Kubernetes Security - OWASP El Kitabı Serisi – "Etcd'ye erişimi kısıtlama"
Düğümlerinize doğrudan erişimi koruma
Genel olarak, kümenizin düğümlerine doğrudan erişim önermeyiz. Kümenizi API sunucusu aracılığıyla yönetmek en iyisidir ve Role-Based Erişim Denetimi (RBAC), hangi kullanıcıların hangi işlemleri gerçekleştirebileceğini denetlemenize yardımcı olabilir. Bu konudaki diğer yönergelerimize bakın.
Bu nedenle, çalışan düğümlerinize SSH erişimi varsayılan olarak devre dışı bırakılmalıdır. Ancak bu erişimin gerekli olduğu kanıtlanırsa ve Azure Arc tarafından etkinleştirilen AKS'yi Azure Yerel'de çalıştırıyorsanız, bu erişimi dikkatli bir şekilde yönetmek önemlidir. Kümeyi oluştururken SSH anahtarlarını güvenli bir şekilde depolayın ve SSH erişimini yalnızca beklenen ağ adresleriyle kısıtlayın. Bu sınırlı özel durumun ötesinde, denetim düzlemi düğümlerine ve kube-scheduler vb. kubelet gibi üzerinde çalışan Kubernetes altyapı bileşenlerine ulaşmanın başka bir yolu olmamalıdır.
Son olarak, uç kümeleri genellikle güvenli olmayan konumlarda bulunduğundan, hangi fiziksel korumaların uygun olduğunu (kilitli erişim, kurcalama kanıtı ölçüleri vb.) göz önünde bulundurun.
Kaynaklar
Sonraki Adımlar
- İş yüklerinizin güvenliğini sağlamayı öğrenin
- Bu güvenlik defterinin en üstüne dön