Aracılığıyla paylaş

Azure Arc özellikli Kubernetes ve Azure Arc tarafından etkinleştirilen AKS için güvenlik kitabı

Uyarı

Bu içerik, Microsoft platformlarının güvenliğini sağlamaya yardımcı olmak için öneriler ve en iyi yöntemler sunan bir dizi güvenlik kitabıdır. Diğer güvenlik kitapları Azure Yerel güvenlik defteri, Windows Server 2025 güvenlik defteri ve Windows İstemcisi güvenlik defteridir.

Kuruluşunuzda uçta (veri merkezlerinde, fabrikalarda, mağazalarda şirket içinde) veya birden çok bulutta çalışan kümeleri içeren Kubernetes dağıtımları olabilir. Genellikle bu heterojen ortamlarda tutarlı ve ölçeklenebilir bir güvenlik duruşu sağlamak zor olur. Azure Yerel gibi uç altyapınızda Azure Arc tarafından etkinleştirilen Azure Kubernetes Service (AKS) kullanarak Microsoft tarafından yönetilen kümeleri çalıştırarak bu sınamanın üstesinden gelebilir ve güvenlik iş akışlarınızı basitleştirebilirsiniz. Alternatif olarak , Azure Arc özellikli Kubernetes'i kullanarak Mevcut Microsoft dışı uç kümelerini bağlayabilirsiniz.

Bu kitapta, bu ürünlerin hem küme altyapınızı hem de uygulama iş yüklerinizi kapsayan tutarlı ve ölçeklenebilir bir güvenlik duruşu korumanıza nasıl yardımcı olabileceği açıklanır. Tedarik zinciri riskleri, kötü amaçlı dış aktörler veya insider saldırılar karşısında birden çok tehdit vektörüne karşı nasıl korunmaya yardımcı olabileceğinizle ilgili tavsiyelerde bulunur. Aşağıdakiler gibi endüstrinin en iyi uygulamalarına dayalıdır:

Ayrıca şunlarla da uyumlu.

Bir güvenlik uzmanıysanız, bu kitap tüm bu faktörleri yoklar ve birden çok öneride bulunur. Kubernetes geliştirme, dağıtım veya işlemlerinden doğrudan sorumlu bir lider veya mühendisseniz, atabileceğiniz adımlarla ilgili ayrıntılı pratik önerilere daha fazla işaret eder.

Edge Kubernetes için beş güvenlik sınaması kategorisini gösteren diyagram.

Güvenlik zorlukları beş kategoriye ayrılır:

  1. Platformunuzun güvenliğini sağlayın. Bu kategori, Kubernetes kümenizi daha güvenli çalışacak şekilde yapılandırmayı ve tüm yerleşik özelliklerini uygun şekilde kullanarak temel işletim sistemi ve donanım altyapısı için de aynı işlemi yapmayı içerir.
  2. İş yüklerinizin güvenliğini sağlayın. Bu kategori, Kubernetes ve Linux güvenlik standartlarını izleyerek kapsayıcılarınızı daha güvenli bir şekilde derlemeyi içerir. Ayrıca, kümelerin içindeki ve dışındaki diğer hizmetlere/hizmetlerden gelen istekler için daha güvenli kimlik doğrulaması ve yetkilendirmenin nasıl oluşturulduğunu da kapsar.
  3. İşlemlerinizin güvenliğini sağlayın. Bu kategori, bu kümelere kimlerin dağıtabileceğini denetlemeyi içerir. Bulutta Microsoft Entra ve Azure rol tabanlı erişim denetimi (Azure RBAC) ile kimlik doğrulaması ve yetkilendirme için küme yerel Kubernetes sisteminin nasıl birleştirilebileceğini kapsar. Yazılım tedarik zincirinizi daha iyi nasıl güvence altına alabileceğinizi ve ilkeler aracılığıyla dağıtımlarınızda standartları nasıl zorlayabileceğinizi açıklar.
  4. Verilerinizin güvenliğini sağlayın. Bu kategori, hem iş yükü uygulama verilerinize hem de Kubernetes'in sizin adınıza depolayan verilere, özellikle de parolalar gibi gizli dizilere erişimin daha iyi güvenliğini sağlamayı içerir.
  5. Ağınızın güvenliğini sağlayın. Bu kategori, yönetim ve veri trafiğini ağ düzeyinde denetlemeden gelen ek savunmayı derinlemesine yapılandırmayı içerir. Kümelerinizin ve iş yüklerinizin hangi kaynaklardan alabileceğini ve hangi hedeflere gönderebileceklerini nasıl kısıtlayabileceğiniz açıklanır.

Bu kitap, genel olarak Arc özellikli Kubernetes kümeleri ve özellikle Azure Arc kümeleri tarafından etkinleştirilen AKS için bu zorluklarla ilgili rehberlik sağlar. Azure Arc tarafından etkinleştirilen AKS için birçok dağıtım seçeneği vardır. Bu kitap , Azure Yerel 23H2 dağıtım seçeneğini kapsar ve Azure Yerel güvenlik özellikleri ile güvenlik kitabının üzerine inşa eder. (Diğer dağıtım seçenekleri aynı avantajların tümünü değil bazılarını sunar.)

Sonraki Adımlar