Azure Kubernetes Services (AKS) 中的容器映像管理與安全性最佳做法
當 AKS Azure Kubernetes Service (AKS) 中開發和執行應用程式時,容器和容器映像安全性為主要優先考量。 包含過期基底映像或未修補的應用程式執行階段的容器,易招致安全性風險和可能的攻擊媒介。 您可以在建置和執行時間整合及執行容器中的掃描和補救工具,以將風險降至最低。 您越早發現弱點或過時的基底映像,您的應用程式就越安全。
在本文中,「容器」指容器登錄中儲存的容器映像與執行中的容器。
本文著重在如何保護 AKS 中的容器。 您將學習如何:
- 掃描和修復映像弱點。
- 更新基底映像時,自動觸發和重新部署容器映像。
- 您可以閱讀適用於叢集安全性與Pod 安全性的最佳做法。
- 您可以使用 Defender for Cloud 中的容器安全性來協助掃描容器是否存在弱點。 Azure Container Registry 與 Defender for Cloud 的整合可協助您保護映像和登錄免於弱點影響。
保護映像與執行階段
最佳做法指導方針
- 掃描容器映像是否存在弱點。
- 僅部署經驗證的映像。
- 定期更新基底映像和應用程式執行時間。
- 在 AKS 叢集中重新部署工作負載。
採用容器型工作負載時,您應該驗證用來建立應用程式之映像和執行時間的安全性。 為了避免在部署中引入安全性弱點,您可以使用下列最佳做法:
例如,您可以使用持續整合與持續部署 (CI/CD) 管線,將映像掃描、驗證及部署自動化。 Azure Container Registry 包含這些弱點掃描功能。
在基底映像更新時,自動建置新的映像
最佳做法指導方針
當您使用基底映像作為應用程式映像時,在更新基底映像時,使用自動化功能建置新的映像。 因為這些基底映像通常包含安全性修正程式,請一併更新任何下游應用程式的容器映像。
每次更新基底映像時,您也應該更新任何下游的容器映像。 此建置流程應與 Azure Pipelines 或 Jenkins 等驗證和部署管線整合。 這些管線可確保應用程式會持續在更新的基底映像上執行。 驗證應用程式容器映像之後,您可以接著更新 AKS 部署以執行最新且安全的映像。
Azure Container Registry 工作也可在更新基底映像時自動更新容器映像。 透過此功能,您可以建立一些基底映像並使用錯誤和安全性修正維持最新狀態。
如需基底映像更新的詳細資訊,請參閱使用 Azure Container Registry 工作在基底映像更新時自動執行映像建置。
下一步
本文著重在如何保護您的容器。 若要實作這些部分的一些內容,請參閱下列文章: