Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kubernetes güvenlik temelleri hakkında bilgi edinin ve kümeler için güvenli kurulumu ve uygulama güvenliği kılavuzunu gözden geçirin. Kubernetes kümesinin dağıtılmış, dinamik yapısı nedeniyle kapsayıcı yaşam döngüsü boyunca Kubernetes güvenliği önemlidir. Uygulamalar yalnızca uygulamanın güvenliğini oluşturan hizmet zincirindeki en zayıf bağlantı kadar güvenlidir.
Planlama, eğitma ve kanıt
Başlarken, aşağıdaki güvenlik temel öğeleri denetim listesi ve Kubernetes güvenlik kaynakları küme işlemlerini ve uygulama güvenliğini planlamanıza yardımcı olacaktır. Bu bölümün sonunda şu soruları yanıtlayabileceksiniz:
- Kubernetes kümelerinin güvenlik ve tehdit modelini gözden geçirdiniz mi?
- Kümeniz Kubernetes rol tabanlı erişim denetimi için etkinleştirildi mi?
Güvenlik denetim listesi:
Güvenlik esasları teknik incelemesi hakkında bilgi sahibi olun. Güvenli bir Kubernetes ortamının birincil hedefleri, çalıştırıldığı uygulamaların korunmasını, güvenlik sorunlarının hızla tanımlanıp giderilebileceğini ve gelecekte benzer sorunların engellenmesini sağlamaktır. Daha fazla bilgi için bkz
The Definitive Guide to Securing Kubernetes. (teknik inceleme).Küme düğümleri için güvenlik sağlamlaştırma kurulumunu gözden geçirin. Güvenliği sağlamlaştırılmış konak işletim sistemi, saldırının yüzey alanını azaltır ve kapsayıcıların güvenli bir şekilde dağıtılmasına olanak tanır. Daha fazla bilgi edinmek için bkz . AKS sanal makine konaklarında güvenlik sağlamlaştırma.
Küme Kubernetes rol tabanlı erişim denetimi (Kubernetes RBAC) kurulumu. Bu denetim mekanizması, kullanıcılara veya kullanıcı gruplarına kaynak oluşturma veya değiştirme ya da çalışan uygulama iş yüklerinden günlükleri görüntüleme izni atamanızı sağlar.
Daha fazla bilgi için bkz.
Üretim ortamına dağıtım yapın ve Kubernetes güvenlik en iyi uygulamalarını burada uygulayın.
Uygulamayı üretime hazırlarken, en iyi yöntemlerin en düşük kümesini uygulayın. Bu aşamada bu denetim listesini kullanın. Bu bölümün sonunda şu soruları yanıtlayabileceksiniz:
- Giriş, çıkış ve pod içi iletişim için ağ güvenlik kuralları ayarladınız mı?
- Kümeniz düğüm güvenlik güncelleştirmelerini otomatik olarak uygulamak için ayarlandı mı?
- Kümeniz ve kapsayıcı hizmetleriniz için bir güvenlik tarama çözümü mü çalıştırıyorsunuz?
Güvenlik denetim listesi:
Grup üyeliğini kullanarak kümelere erişimi denetleme. Kullanıcı kimliğine veya grup üyeliğine göre küme kaynaklarına erişimi sınırlamak için Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) yapılandırın. Daha fazla bilgi için bkz. Kubernetes RBAC ve Microsoft Entra kimliklerini kullanarak küme kaynaklarına erişimi denetleme.
Gizli bilgiler yönetimi ilkesi oluşturun. Kubernetes'te gizli dizi yönetimini kullanarak parolalar ve sertifikalar gibi hassas bilgileri güvenli bir şekilde dağıtın ve yönetin. Daha fazla bilgi için Kubernetes'te sır yönetimini anlama (video) bölümüne bakın.
Ağ ilkeleriyle pod içi ağ trafiğinin güvenliğini sağlayın. Kümedeki podlar arasındaki ağ trafiği akışını denetlemek için en az ayrıcalık ilkesini uygulayın. Daha fazla bilgi için bkz . Ağ ilkeleriyle pod içi trafiğin güvenliğini sağlama.
Yetkili IP'leri kullanarak API sunucusuna erişimi kısıtlayın. API sunucusuna erişimi sınırlı bir IP adresi aralığı kümesiyle sınırlayarak küme güvenliğini geliştirin ve saldırı yüzeyini en aza indirin. Daha fazla bilgi için bkz . API sunucusuna güvenli erişim.
Küme çıkış trafiğini kısıtlayın. Küme için çıkış trafiğini kısıtlarsanız hangi bağlantı noktalarına ve adreslere izin vereceğinizi öğrenin. Çıkış trafiğinizin güvenliğini sağlamak ve bu gerekli bağlantı noktalarını ve adresleri tanımlamak için Azure Güvenlik Duvarı'nı veya üçüncü taraf güvenlik duvarı gerecini kullanabilirsiniz. Daha fazla bilgi edinmek için bkz. AKS'de küme düğümleri için çıkış trafiğini denetleme.
Web Uygulaması Güvenlik Duvarı (WAF) ile trafiğin güvenliğini sağlama. Azure Application Gateway'i Kubernetes kümeleri için giriş denetleyicisi olarak kullanın. Daha fazla bilgi için bkz. Azure Application Gateway'i giriş denetleyicisi olarak yapılandırma.
Çalışan düğümlerine güvenlik ve çekirdek güncelleştirmeleri uygulayın. AKS düğümü güncelleştirme deneyimini anlama. Kümelerinizi korumak için, güvenlik güncellemeleri AKS'deki Linux düğümlerine otomatik olarak uygulanır. Bu güncelleştirmeler işletim sistemi güvenlik düzeltmelerini veya çekirdek güncelleştirmelerini içerir. Bu güncelleştirmelerden bazıları, işlemi tamamlamak için düğümün yeniden başlatılmasını gerektirir. Daha fazla bilgi edinmek için bkz. Güncelleştirmeleri uygulamak üzere düğümleri otomatik olarak yeniden başlatmak için kured kullanma.
Bir kapsayıcı ve küme tarama çözümü yapılandırın. Azure Container Registry'ye gönderilen kapsayıcıları tarayın ve küme düğümleriniz, bulut trafiğiniz ve güvenlik denetimleriniz için daha derin görünürlük elde edin.
Daha fazla bilgi için bakınız:
İyileştirme ve ölçeklendirme
Uygulama üretim aşamasında olduğuna göre iş akışınızı nasıl iyileştirip uygulamanızı ve ekibinizi ölçeklendirmeye nasıl hazırlayabilirsiniz? Hazırlanmak için iyileştirme ve ölçeklendirme denetim listesini kullanın. Bu bölümün sonunda şu soruyu yanıtlayabileceksiniz:
- İdare ve küme ilkelerini büyük ölçekte zorunlu kılabilir misiniz?
Güvenlik denetim listesi:
Küme idare ilkelerini zorunlu kılma. Kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulayın. Daha fazla bilgi edinmek için bkz. Azure İlkesi ile dağıtımları denetleme.
Küme sertifikalarını düzenli aralıklarla döndürün. Kubernetes, birçok bileşeniyle kimlik doğrulaması için sertifikalar kullanır. Güvenlik veya ilke nedenleriyle bu sertifikaları düzenli aralıklarla döndürmek isteyebilirsiniz. Daha fazla bilgi edinmek için bkz. Azure Kubernetes Service'te (AKS) sertifikaları döndürme.