Aracılığıyla paylaş

AKS için güvenlik

  • Makale

Bu makale, herhangi bir çözüm uygulamadan önce göz önünde bulundurmanız gereken Azure Kubernetes Service (AKS) güvenlik idaresi ile ilgili size yol gösterir.

Makale, Azure ve açık kaynak yazılımları kullanarak çözümlerin nasıl uygulanamaya odaklanmaktadır. Kurumsal ölçekli giriş bölgesi oluştururken alınan kararlar, idarenizi kısmen önceden tanımlayabilir. İdare ilkelerini anlamak için bkz . Kurumsal ölçekli güvenlik idaresi ve uyumluluğu.

Saldırı yüzeyleri

Kubernetes kümeleri için bir güvenlik stratejisi oluştururken aşağıdaki beş saldırı yüzeyini göz önünde bulundurun:

  • Derleme
  • Kayıt Defteri
  • Küme
  • Düğüm
  • Uygulama

Her kategori için dikkate alınması gereken önemli riskleri ve bu risklere karşı önlemleri ele alıyoruz.

Derleme güvenliği

Derleme güvenliği, DevSecOps'un kapsayıcı görüntüleriyle düzgün bir şekilde kullanılmasıyla ilgili.

Önemli riskler

Kötü görüntü yapılandırması işlem hattında güvenlik açıklarına yol açabilir. Örneğin, kapsayıcılarınız gerektiğinden daha fazla ayrıcalıkla çalışıyor olabilir. Kapsayıcılar ayrıca belirli ağ erişimine izin verecek şekilde yapılandırılabilir ve bu da sistemi riske atabilir. İzin verilen sistem çağrılarını kapsayıcıların güvenli bir şekilde çalıştırılması için gereken çağrılarla sınırlamamak, güvenliği aşılmış bir kapsayıcının riskini artırabilir.

Başka bir güvenlik açığı kapsayıcının konağın hassas bir dizinine erişmesine veya kapsayıcıların konağın temel işlevini denetleye konumları değiştirmesine izin vermek olabilir.

Standart dışı kapsayıcılar, bir ortamda planlanmamış kapsayıcılardır. Bunlar, geliştiricilerin kodlarını test ortamlarında test etmelerinin sonucu olabilir. Bu kapsayıcılar güvenlik açıkları için sıkı taramadan geçmemiş veya düzgün yapılandırılmamış olabilir. Bu güvenlik açıkları saldırganlar için bir giriş noktası açabilir.

Güvenilir kaynaklardan olmayan veya güvenlik güncelleştirmeleriyle güncel olmayan temel görüntülerin kullanılması, derlemek için kullandıkları kapsayıcılarda da güvenlik açıklarına yol açabilir.

Risk karşı önlemleri

Derleme güvenliği, devSecOps'un güvenliği sola kaydırmak ve işlem hattında ilerlemeye başlamadan önce çoğu sorunu düzeltmek için uygulanmasıyla ilgili. Bu, tüm sahipliği geliştiricilere vermekle değil, sahipliğini operasyonlarla paylaşmakla ilgili değildir. Geliştiriciler daha sonra gerçekten giderebilecekleri güvenlik açıklarını ve uyumluluk sorunlarını görebilir ve düzeltebilir.

Bir veya 10 kritik güvenlik açığı olduğundan derlemeleri tarar ve başarısız olan bir işlem hattı oluşturabilirsiniz. Sonraki katmana aşağıdan bakmak daha iyi bir yaklaşım olabilir. Sorumluluk noktasını satıcı durumuna göre segmentlere ayırmaya başlayabilirsiniz.

Güvenlik açığının durum katmanında bir eşik ayarlayın. Durumu Açık, Düzeltilmeyecek veya Ertelenmiş olan her şey, SecOps'un bugün olduğu gibi riske erişebildiği işlem hattından aşağı doğru akmaya devam eder. Satıcı düzeltmelerinin durumuyla ilgili bir güvenlik açığı, bir geliştiricinin giderebileceği bir durumdur. Yetkisiz kullanım sürelerinin kullanılması, geliştiricilerin güvenlik açıklarını düzeltmesi için zaman tanır.

Güvenlik açığı değerlendirmesinin yanı sıra uyumluluk değerlendirmesi de vardır. Örneğin, bir görüntünün Kök olarak çalıştır'a izin vermek veya SSH'yi kullanıma açmak çoğu kuruluşun uyumluluk duruşunu bozar. Dağıtım sırasında değil derleme sırasında bu sorunu giderin.

Normalde görüntülerinizi Docker CIS karşılaştırmasına göre tararsınız. Bu tür akışları kullandığınızda, güvenlik düzeltmesi ekleyerek geliştirmeyi bozmazsınız, ancak kuruluşunuzun genel olarak satır içi güvenlik duruşunu geliştirebilirsiniz.

Bu özellikleri sağlayan bir aracın kullanılması, kuruluşunuz için doğru stratejiyi etkili bir şekilde uygulamak için kritik öneme sahiptir. Geleneksel araçlar genellikle kapsayıcılar içindeki güvenlik açıklarını algılayamaz ve bu da yanlış bir güvenlik duygusuna yol açabilir. Kapsayıcı ekosisteminizin güvenliğini düzgün bir şekilde sağlamak için işlem hattı tabanlı derleme yaklaşımını ve kapsayıcı teknolojilerinin değişmez ve bildirim temelli doğasını dikkate alan araçlar gerekir.

Bu araçlar aşağıdaki özelliklere sahip olmalıdır:

  • Derleme işleminin başlangıcından kayıt defterine ve çalışma zamanına kadar görüntülerin tüm ömrüyle tümleştirme.
  • Görüntünün temel katmanı, uygulama çerçeveleri ve özel yazılımlar dahil olmak üzere görüntünün tüm katmanlarında güvenlik açıklarına görünürlük.
  • Kuruluşunuzun derleme ve dağıtım işlemlerinin her aşamasında kalite geçitleri oluşturmasına olanak tanıyan doğru ayrıntı düzeyine sahip ilke temelli uygulama.

Kayıt defteri güvenliği

Kayıt defteri güvenliği ile ilgili:

  • Derlemeden kayma denetimi.
  • Kirlenmiş görüntülerin itme/çekmenin önlenmesi.
  • Görüntü imzalama.

Önemli riskler

Görüntüler genellikle kuruluşun kaynak kodu da dahil olmak üzere özel bilgiler içerir. Kayıt defterlerine bağlantılar uygun şekilde güvenli değilse, bir görüntünün içeriği, kuruluşunuzda iletilen diğer veri türleri kadar ciddi gizlilik riskleri oluşturabilir. Kayıt defterinde güvenlik açığı bulunan eski görüntüler, yanlışlıkla dağıtılırsa güvenlik risklerini artırabilir.

Başka bir güvenlik açığı, kapsayıcı kayıt defterlerinde yetersiz kimlik doğrulaması ve yetkilendirme kısıtlamaları içerebilir. Bu kayıt defterleri görüntülerde hassas özel varlıklar barındırabilir.

İçerik oluşturulur ve dağıtılırken, bu içeriğin dağıtımı birçok saldırı vektörlerinden biridir. Dağıtım için hazırlanan içeriğin hedeflenen uç noktaya teslim edilen içerikle aynı olduğundan nasıl emin olursunuz?

Risk karşı önlemleri

Geliştirme araçlarının, ağların ve kapsayıcı çalışma zamanlarının yalnızca şifrelenmiş kanallar üzerinden kayıt defterlerine bağlı olduğundan emin olmak için dağıtım işlemlerini ayarlayın. Ayrıca, içeriğin güvenilir bir kaynaktan geldiğinden emin olun. Eski görüntülerin kullanımından kaynaklanan riskleri azaltmak için:

  • Kapsayıcı kayıt defterlerinden artık kullanılmaması gereken güvenli olmayan, güvenlik açığı olan görüntüleri kaldırın.
  • Kullanılacak görüntülerin belirli sürümlerini belirten sabit adlar kullanarak görüntülere erişimi zorunlu kılın. Bu yapılandırmayı, görüntülerin en son etiketini veya belirli bir sürümünü kullanarak uygulayabilirsiniz. Etiket, güncelliği garanti etmez. Bu nedenle, Kubernetes orchestrator'ın en son benzersiz sayıları kullandığından veya en son etiketin en güncel sürümleri temsildiğinden emin olmak için bir işlem yerleştirin.

Hassas görüntüler içeren kayıt defterlerine erişim için kimlik doğrulaması ve yetkilendirme gerekir. Tüm yazma erişimi için de kimlik doğrulaması gerekir. Örneğin, ilkeniz geliştiricilerin yalnızca sorumlu oldukları depolara görüntü göndermesine izin verebilir.

Bu kayıt defterlerine erişim federe olmalı ve iş kolu düzeyinde erişim ilkelerinden yararlanmalıdır. Örneğin, CI/CD işlem hattınızı yalnızca güvenlik açığı tarama uyumluluk değerlendirmesi ve kalite denetimi testlerini geçtikten sonra depolara görüntü göndermek üzere yapılandırabilirsiniz.

Kapsayıcı kayıt defterleri artık yapıt kayıt defterlerinin yalnızca kapsayıcı görüntülerini değil, herhangi bir içerik türünü dağıtmak için birincil araçlar haline geldiğini kabul eder. Her bulut, şirket içinde veya bulut sağlayıcıları içinde özel barındırma için kullanılabilen açık kaynak projeleri ve satıcı ürünlerini içeren bir kayıt defteri sağlar. İçerik, ilk derlemelerinden üretim dağıtımlarına kadar kayıt defterleri içinde ve genelinde yükseltilir.

Kayıt defterine giren içeriğin bütünlüğünün kayıt defterinden çıkan içerikle aynı olduğundan nasıl emin olabilirsiniz? Görüntü imzalama çözümünün benimsenmesi, dağıtımların yalnızca güvenilen kayıt defterlerinden gelmesini ve güvenilir içerik dağıtmasını sağlar.

Küme güvenliği

Küme güvenliği şu konulardadır:

  • Kimlik doğrulaması ve yetkilendirme.
  • Ağ güvenliği.
  • Güvenlik açığı ve uyumluluk yönetimi.

Önemli riskler

Bazen tek bir Kubernetes kümesi, farklı erişim düzeyi gereksinimleri olan farklı ekipler tarafından yönetilen farklı uygulamaları çalıştırmak için kullanılabilir. Kişilere kısıtlama olmadan veya yalnızca ihtiyaçlarına göre erişim sağlanırsa, kötü amaçlı veya dikkatsiz bir kullanıcı erişim sahibi olduğu iş yüklerini ve kümedeki diğer varlıkları tehlikeye atabilir.

Kümenin kendi kullanıcı dizini yetkilendirme ve kimlik doğrulamasını yönettiğinde başka bir güvenlik açığı oluşabilir. Kuruluş kimlik doğrulaması dizini genellikle daha sıkı denetlenmektedir. Bu hesaplar yüksek ayrıcalıklı olduğundan ve daha sık yalnız bırakılmış olduğundan, güvenliği aşılmış hesap olasılığı artar.

Bu senaryo küme ve hatta sistem genelinde güvenlik açıklarına yol açabilir. Kapsayıcı birimleri tarafından depolanan veriler, hangi düğümde barındırılırsa barındırılırsa barındırsın verilere erişimi olması gereken düzenleyiciler tarafından yönetilir.

Aktarımdaki verileri şifrelemek için tasarlanmış bir ağ katmanı nedeniyle geleneksel ağ filtrelerinde güvenlik körlüğü olabilir. Bu tasarım, küme içindeki trafiğin izlenmesini zorlaştırır, bu nedenle Kubernetes kümelerini izlemek için özel sağlamalar gerekebilir.

Aynı kümeyi paylaşan farklı uygulamalardan gelen trafik, genel kullanıma yönelik bir web sitesi ve kritik hassas iş süreçlerini çalıştıran bir iç uygulama gibi farklı duyarlılık düzeylerine sahip olabilir. Aynı sanal ağın küme içinde paylaşılması, güvenliği aşılmış hassas verilere yol açabilir. Örneğin, bir saldırgan iç uygulamalara saldırmak için İnternet'e açık paylaşılan ağı kullanabilir.

Kümeyi çalıştıran bileşenleri güvenlik açıklarından ve uyumluluk sorunlarından koruyun. Düzeltmeden yararlanmak için Kubernetes'in mümkün olan en son sürümünde çalıştırdığınızdan emin olun.

Risk karşı önlemleri

Kubernetes kümesi kullanıcı erişimi en az ayrıcalıklı erişim modelini kullanmalıdır. Kullanıcılara yalnızca işlerini yapmaları için gereken belirli konaklar, kapsayıcılar ve görüntüler üzerinde belirli eylemleri gerçekleştirme erişimi verin. Test ekibi üyelerinin üretimdeki kapsayıcılara erişimi sınırlı olmalı veya hiç olmamalıdır. Küme genelinde erişimi olan kullanıcı hesapları sıkı bir şekilde denetlenmeli ve tedbirli kullanılmalıdır.

Bu hesaplara erişimin güvenliğini sağlamak için çok faktörlü kimlik doğrulaması gibi güçlü kimlik doğrulama yöntemlerini kullanın. Kuruluş kullanıcı dizini, aynı ilke ve denetim düzeyine sahip olmayabilecek kümeye özgü kullanıcı hesaplarının aksine, çoklu oturum açma yoluyla kümeleri yönetmek için kullanılmalıdır.

Kapsayıcıların üzerinde çalıştığı konakta bulunan verilere düzgün bir şekilde erişmesine izin veren şifreleme yöntemlerini kullanın. Bu şifreleme araçları, aynı düğümde bile verilere erişimi olmaması gereken diğer kapsayıcılar tarafından verilere yetkisiz erişimi engellemelidir.

Ağ trafiğini duyarlılık düzeyine göre ayrı sanal ağlara veya alt ağlara ayırmak için Kubernetes kümelerini yapılandırın. Uygulama başına segmentlere ayırma da mümkün olabilir, ancak ağları duyarlılık düzeylerine göre tanımlamak yeterli olabilir. Örneğin, hassas trafiğe sahip iç uygulamalara hizmet verenlerden ayrılmış, müşteriye yönelik uygulamalara yönelik sanal ağlar en azından uygulanmalıdır.

Dağıtımları belirli düğüm kümelerine duyarlılık düzeylerine göre yalıtmak için renk tonlarını ve toleransları kullanabilirsiniz. Yüksek düzeyde hassas iş yüklerini daha düşük hassasiyete sahip iş yükleriyle aynı düğümde barındırmaktan kaçının. Ayrı yönetilen kümeler kullanmak daha güvenli bir seçenektir.

Hassas iş yükleri için ek koruma sağlamak için kapsayıcıları amaca, duyarlılığa ve iş parçacığı duruşlarına göre segmentlere ayırma. Kapsayıcıları bu şekilde segmentlere ayırmak, bir kesime erişim elde eden bir saldırganın diğer segmentlere erişim sağlaması daha zordur. Bu yapılandırma, önbellekler veya birim bağlamaları gibi artık verilerin duyarlılık düzeyine göre yalıtılmasını sağlamanın ek avantajına sahiptir.

Kubernetes kümeleri şu şekilde yapılandırılmalıdır:

  • Üzerinde çalışan uygulamalar için güvenli bir ortam sağlayın.
  • Düğümlerin kümeye güvenli bir şekilde eklendiğinden emin olun.
  • Yaşam döngüleri boyunca güvenliği sağlamaya yardımcı olmak için kalıcı kimliklere sahip olun.
  • Ağ ve küme içindeki düğümler de dahil olmak üzere kümenin durumu hakkında canlı ve doğru bilgiler sağlayın.

Güvenliği aşılmış bir düğümün kümenin performansını etkilemeden yalıtılması ve kümeden kaldırılması kolay olmalıdır. AKS bunu basitleştirir.

Uyumluluğu otomatik olarak sağlamak için kapsayıcı çalışma zamanı yapılandırma standartlarını tanımlayın. Azure'da bu işlemi kolaylaştıran birçok ilke vardır ve kullanıcılar kendi ilkelerini de oluşturabilir. Azure güvenlik özelliklerini kullanarak ortam genelinde yapılandırma ayarlarını sürekli olarak değerlendirin ve bunları etkin bir şekilde uygulayın.

Kubernetes bileşenlerinin güvenlik açıklarının giderildiğinden otomatik olarak emin olun. Her biri kendi denetimleri ve kapsayıcı yönetimi için rol tabanlı erişim denetimi (RBAC) ile geliştirme, test ve üretim için ayrı ortamlar kullanın. Tüm kapsayıcı oluşturma işlemini tek tek kullanıcı kimlikleriyle ilişkilendirin ve denetim için günlüğe kaydedilmelidir. Bu yapılandırma, sahte kapsayıcı riskini azaltmaya yardımcı olur.

Düğüm güvenliği

Düğüm güvenliği şu konulardadır:

  • Çalışma zamanı koruması.
  • Güvenlik açığı ve uyumluluk yönetimi.

Önemli riskler

Bir çalışan düğümü, düğümdeki tüm bileşenlere ayrıcalıklı erişime sahiptir. Saldırganlar giriş noktası olarak ağdan erişilebilir herhangi bir hizmeti kullanabilir, bu nedenle konağa birden çok noktadan erişim sağlamak saldırı yüzeyini ciddi şekilde artırabilir. Saldırı yüzeyi ne kadar büyük olursa, saldırganın düğüme ve işletim sistemine erişim kazanma şansı o kadar artar.

Ayrıca AKS düğümlerinde kullanılanlar gibi kapsayıcıya özgü işletim sistemleri, normal işletim sistemlerinin veritabanlarını ve web sunucularını doğrudan çalıştırmasını sağlayan kitaplıklar içermediğinden daha küçük bir saldırı yüzeyine sahiptir. Paylaşılan çekirdek kullanımı, aynı ortamda çalışan kapsayıcılar için ayrı sanal makinelerdeki kapsayıcılardan daha büyük bir saldırı yüzeyiyle sonuçlanmaktadır. AKS düğümlerinde çalışan kapsayıcıya özgü işletim sistemleri kullanımda olsa bile bu durum geçerlidir.

Konak işletim sistemleri, güvenlik açıklarına ve uyumluluk riskine sahip olabilecek temel sistem bileşenleri sağlar. Düşük düzeyli bileşenler olduğundan, güvenlik açıkları ve yapılandırmaları barındırılan tüm kapsayıcıları etkileyebilir. AKS, AKS üzerinde çalışan düğümlerde düzenli işletim sistemi güncelleştirmeleri aracılığıyla bu güvenlik açıklarıyla ilgilenildiğinden ve çalışan düğümünün uyumluluk duruşunun korundığından emin olarak kullanıcıları korur.

Kullanıcıların AKS denetim düzlemi üzerinden değil, kapsayıcıları yönetmek için doğrudan düğümlerde oturum açması, hatalı kullanıcı erişim hakları da güvenlik risklerine yol açabilir. Doğrudan oturum açmak, kullanıcının uygulamalara erişmesi gerekenlerin ötesinde değişiklikler yapmasına olanak sağlayabilir.

Ayrıca, kötü amaçlı kapsayıcılar konak işletim sistemi dosya sistemi üzerinde oynanmasına neden olabilir. Örneğin, bir kapsayıcının konak işletim sistemine hassas bir dizin bağlamasına izin verilirse, bu kapsayıcı dosyalarda değişiklik yapabilir. Değişiklikler konakta çalışan diğer kapsayıcıların güvenliğini etkileyebilir.

Risk karşı önlemleri

SSH erişimini sınırlayarak düğüm erişimini kısıtlayın.

AKS düğümlerinde kapsayıcıya özgü işletim sisteminin kullanılması genellikle diğer hizmetler ve işlevler devre dışı bırakıldığından saldırı yüzeylerini azaltır. Ayrıca salt okunur dosya sistemleri vardır ve varsayılan olarak diğer küme sağlamlaştırma uygulamalarını kullanırlar.

Azure platformu, Linux ve Windows düğümlerine işletim sistemi güvenlik düzeltme eklerini her gece otomatik olarak uygular. Linux işletim sistemi güvenlik güncelleştirmesi konak yeniden başlatması gerektiriyorsa otomatik olarak yeniden başlatılmaz. AKS, söz konusu düzeltme eklerini uygulamak için yeniden başlatma mekanizmaları sağlar.

Sunucular için Microsoft Defender, işletim sistemini Microsoft yönettiği için AKS Linux ve Windows düğümleri için geçerli değildir. AKS'nin dağıtıldığı abonelikte başka sanal makine yoksa Sunucular için Microsoft Defender'ı güvenli bir şekilde devre dışı bırakabilirsiniz.

Kurumsal ölçekli giriş bölgesi önerilen Azure ilkeleri de dahil olmak üzere ortam dağıtıldıysa, gereksiz maliyetlerden kaçınmak için Sunucular için Microsoft Defender'ı otomatik olarak etkinleştiren yönetim grubunda ilke atamasına yönelik bir dışlama yapılandırabilirsiniz.

Uygulama güvenliği

Uygulama güvenliği şu konulardadır:

  • Çalışma zamanı koruması.
  • Güvenlik açığı ve uyumluluk yönetimi.

Önemli riskler

Görüntüler, bir uygulamayı çalıştırmak için gereken tüm bileşenleri içeren dosyalardır. Bu bileşenlerin en son sürümleri görüntü oluşturmak için kullanıldığında, o sırada bilinen güvenlik açıklarından kurtulmuş olabilirler, ancak hızla değişebilirler.

Paket geliştiricileri güvenlik açıklarını düzenli olarak tanımladığından bu dosyaları en son sürümlerle güncel tutmanız gerekir. Genellikle konakta güncelleştirilen geleneksel uygulamalardan farklı olarak kapsayıcıları oluşturmak için kullanılan görüntüleri güncelleştirerek kapsayıcı güncelleştirmelerini daha yukarı akış yapın.

Kötü amaçlı dosyalar bir görüntüye de eklenebilir ve daha sonra sistemin diğer kapsayıcılarına veya bileşenlerine saldırmak için kullanılabilir. Üçüncü taraf kapsayıcılar olası bir saldırı vektöru olabilir. Bunlar hakkında belirli ayrıntılar bilinmiyor olabilir ve veri sızdırabilir. Kapsayıcılar gerekli güvenlik güncelleştirmeleriyle güncel tutulmamış olabilir.

Başka bir saldırı vektör, parolalar ve bağlantı dizesi gibi gizli dizileri doğrudan bir görüntü dosya sistemi içine eklemektir. Görüntüye erişimi olan herkes gizli dizilere erişebildiğinden bu uygulama güvenlik riskine neden olabilir.

Uygulamaların kendisinde siteler arası betik oluşturmaya veya SQL eklemeye karşı savunmasız uygulamalar gibi hatalar olabilir. Kusurlar mevcut olduğunda, güvenlik açığı diğer kapsayıcılarda ve hatta konak işletim sistemindeki hassas bilgilere yetkisiz erişimi etkinleştirmek için kullanılabilir.

AKS kapsayıcısı çalışma zamanı, Azure'da kullanılabilen çeşitli güvenlik araçlarını kullanarak güvenlik açıklarını izlemeyi kolaylaştırır. Daha fazla bilgi için bkz . Kubernetes için Microsoft Defender'a giriş.

Kapsayıcıların güvenli verileri barındıran ortamlar gibi farklı duyarlılık düzeylerindeki ağlarda veya İnternet'e trafik gönderemediğinden emin olmak için kapsayıcılara gönderilen çıkış ağ trafiğini de denetlemeniz gerekir. Azure, çeşitli ağ ve AKS güvenlik özellikleriyle bu denetimi kolaylaştırır.

Kubernetes zamanlayıcıları varsayılan olarak ölçeği artırmaya ve düğümlerde çalışan iş yüklerinin yoğunluğunun en üst düzeye çıkarılmasına odaklanır. Bu konak en çok kullanılabilir kaynaklara sahip olduğu için farklı duyarlılık düzeylerindeki podları aynı düğüme yerleştirebilirler. Bu senaryo, saldırganlar aynı konakta daha hassas işlemler çalıştıran kapsayıcılara saldırmak için genel kullanıma yönelik iş yüklerine erişim kullandığında güvenlik olaylarına yol açabilir. Güvenliği aşılmış bir kapsayıcı, saldırganın yararlanabileceği diğer güvenlik açıklarını bulmak için ağı taramak için de kullanılabilir.

Risk karşı önlemleri

Gizli dizileri hiçbir zaman uygulama kodunda veya dosya sistemlerinde depolamayın. Gizli diziler anahtar depolarında depolanmalı ve gerektiğinde çalışma zamanında kapsayıcılara sağlanmalıdır. AKS, yalnızca belirli anahtarlara erişmesi gereken kapsayıcıların bunlara erişimi olduğundan ve bu gizli dizilerin diskte kalıcı olmadığından emin olabilir. Örneğin, Azure Key Vault bu gizli dizileri güvenli bir şekilde depolayabilir ve gerektiğinde AKS kümesine sağlayabilir. Bu gizli dizilerin hem depolamada hem de aktarımda şifrelenmesini sağlamak da kolaydır.

Güvenilmeyen görüntülerin ve kayıt defterlerinin kullanımından kaçının ve kümelerinde yalnızca güvenilen kümelerdeki görüntülerin çalışmasına izin verildiğinden emin olun. Çok katmanlı bir yaklaşım için:

  • Tam olarak hangi görüntülerin ve kayıt defterlerinin güvenilir olduğunu merkezi olarak kontrol edin.
  • Şifreleme imzasıyla her görüntüyü ayrı ayrı tanımlayın.
  • Tüm konakların yalnızca onaylanan kümedeki görüntüleri çalıştırmasını sağlayan ilkeler yerleştirin.
  • Yürütmeden önce bu imzaları doğrulayın.
  • Güvenlik açıkları ve yapılandırma gereksinimleri değiştikçe bu görüntüleri ve kayıt defterlerini izleyin ve güncelleştirin.

Kapsayıcıları kısıtlamak için güvenli bilgi işlem profilleri kullanılmalıdır ve çalışma zamanında ayrılmalıdır. Özel profiller oluşturulabilir ve yeteneklerini daha fazla sınırlamak için kapsayıcı çalışma zamanlarına geçirilebilir. En azından kapsayıcıların varsayılan profillerle çalıştığından emin olun. Yüksek riskli uygulamalar çalıştıran kapsayıcılar için özel, daha kısıtlanmış profiller kullanmayı göz önünde bulundurun.

Araçlar, davranışsal öğrenmeyi kullanarak uygulamaların profilini otomatik olarak oluşturabilir ve anomalileri algılayabilir. Çalışma zamanında anomalileri algılamak için üçüncü taraf çözümleri kullanabilirsiniz. Anomaliler şunlar gibi olayları içerebilir:

  • Geçersiz veya beklenmeyen işlem yürütmesi veya sistem çağrıları.
  • Korumalı yapılandırma dosyalarında ve ikili dosyalarda yapılan değişiklikler.
  • Beklenmeyen konumlara ve dosya türlerine yazar.
  • Beklenmeyen ağ dinleyicileri oluşturma.
  • Beklenmeyen ağ hedeflerine gönderilen trafik.
  • Kötü amaçlı yazılım depolama ve yürütme.

Kubernetes için Microsoft Defender şu anda bu alana yatırım yapıyor.

Kapsayıcılar, tanımlı dizinlere yapılan yazma işlemlerini yalıtmak için kök dosya sistemleriyle salt okunur modda çalıştırılmalıdır. Bu araçlar bunları kolayca izleyebilir. Bu yapılandırma, bu belirli konumlarda değişiklik yapma işlemini yalıttığınız için kapsayıcıların güvenliğinin aşılmasına daha dayanıklı olmasını sağlar. Uygulamanın geri kalanından kolayca ayrılabilirler.

Tasarımla ilgili dikkat edilecek noktalar

AKS'nin Microsoft Entra ID, Azure Depolama ve Azure Sanal Ağ gibi diğer Azure hizmetleri için çeşitli arabirimleri vardır. Bu hizmetlerin kullanılması planlama aşamasında özel dikkat gerektirir. AKS ayrıca altyapınızın geri kalanındakiyle aynı güvenlik idaresi ve uyumluluk mekanizmalarını ve denetimlerini uygulamayı göz önünde bulundurmanızı gerektiren ek karmaşıklık da ekler.

AKS güvenlik idaresi ve uyumluluğuyla ilgili diğer tasarım konuları şunlardır:

  • Kurumsal ölçekli giriş bölgesi en iyi yöntemlerine göre dağıtılan bir abonelikte AKS kümesi oluşturursanız, kümelerin devralacağı Azure ilkeleri hakkında bilgi edinin. Daha fazla bilgi için bkz. Azure giriş bölgelerine dahil edilen ilkeler başvuru uygulamaları.
  • Kümenin denetim düzleminin varsayılan olan İnternet üzerinden mi yoksa yalnızca Azure'daki özel ağınızdan mı yoksa özel küme olarak şirket içinden mi erişileceğine karar verin ... Kuruluşunuz kurumsal ölçekli giriş bölgesi en iyi yöntemlerini izliyorsa, Corp yönetim grubunun kümeleri özel olmaya zorlayan bir Azure İlkesi vardır. Daha fazla bilgi için bkz. Azure giriş bölgelerine dahil edilen ilkeler başvuru uygulamaları.
  • Kapsayıcıların okuma, yazma, yürütme veya dosya sistemlerini bağlama gibi sistem işlevleri gibi gerçekleştirebileceği eylemleri sınırlamak için yerleşik AppArmor Linux güvenlik modülünü kullanarak değerlendirin. Örneğin, tüm aboneliklerin tüm AKS kümelerindeki podların ayrıcalıklı kapsayıcılar oluşturmasını engelleyen Azure ilkeleri vardır. Daha fazla bilgi için bkz. Azure giriş bölgelerine dahil edilen ilkeler başvuru uygulamaları.
  • Kapsayıcıların gerçekleştirebileceği işlem çağrılarını sınırlamak için işlem düzeyinde kullanarak seccomp (güvenli bilgi işlem) değerlendirme yapın. Örneğin, kapsayıcı ayrıcalıklarının Kubernetes için Azure ilkeleri aracılığıyla kök kullanımlara seccomp yükseltilmesini önlemek için giriş bölgeleri yönetim grubundaki genel kurumsal ölçekli giriş bölgesi uygulamasının bir parçası olarak uygulanan Azure İlkesi.
  • Kapsayıcı kayıt defterinize İnternet üzerinden mi yoksa yalnızca belirli bir sanal ağ içinden mi erişilebileceğine karar verin. Kapsayıcı kayıt defterinde İnternet erişimini devre dışı bırakmak, erişim için genel bağlantıya dayanan diğer sistemler üzerinde olumsuz etkilere neden olabilir. Örnek olarak sürekli tümleştirme işlem hatları veya görüntü tarama için Microsoft Defender verilebilir. Daha fazla bilgi için bkz. Azure Özel Bağlantı kullanarak kapsayıcı kayıt defterine özel olarak bağlanma.
  • Özel kapsayıcı kayıt defterinizin birden çok giriş bölgesi arasında paylaşılıp paylaşılmayacağına veya her giriş bölgesi aboneliğine ayrılmış bir kapsayıcı kayıt defteri dağıtıp dağıtmadığınıza karar verin.
  • Tehdit algılama için Kubernetes için Microsoft Defender gibi bir güvenlik çözümü kullanmayı göz önünde bulundurun.
  • Kapsayıcı görüntülerinizi güvenlik açıklarına karşı taramayı göz önünde bulundurun.
  • Gereksiz maliyetlerden kaçınmak için AKS olmayan sanal makine yoksa AKS aboneliğinde Sunucular için Microsoft Defender'ı devre dışı bırakmayı göz önünde bulundurun.

Tasarım önerileri

Önemli

Bulut için Microsoft Defender görüntü taraması Container Registry uç noktalarıyla uyumlu değildir. Daha fazla bilgi için bkz. Özel Bağlantı kullanarak kapsayıcı kayıt defterine özel olarak bağlanma.