Azure Stack HCI 和 Windows Server 上的 AKS 安全性概念

Azure Stack HCI 上的 AKS 安全性涉及保護 Kubernetes 叢集上執行的基礎結構以及應用程式的安全。 本文涵蓋安全性強化措施和內建安全性功能,用來保護 Kubernetes 叢集上的基礎結構和應用程式。

基礎結構安全性

Azure Stack HCI 上的 AKS 會套用各種安全性措施來保護其基礎結構。 下列圖表醒目提示這些措施:

Illustrates the infrastructure security of Azure Kubernetes Service on Azure Stack HCI

下表說明 Azure Stack HCI 上的 AKS 中,安全性強化的概念,此概念也顯示於先前的圖表上。 如需有關 Azure Stack HCI 上的 AKS 基礎結構的概念背景資訊,請參閱叢集與工作負載

安全性層面 描述
1 由於 AKS 主機可以存取所有工作負載 (目標) 叢集,因此此叢集可能為單一的入侵點。 然而,AKS 主機的存取權會受到嚴格控管,因為管理叢集的目的僅限於佈建工作負載叢集和收集加總的叢集計量。
2 為降低部署成本和複雜性,工作負載叢集會共用基礎的 Windows 伺服器。 不過,根據安全性需求,管理員可以選擇將工作負載叢集部署在專用的 Windows 伺服器上。 當工作負載叢集共用基礎的 Windows 伺服器時,會將每個叢集部署為虛擬機器,以確保工作負載叢集之間有強式隔離保證。
3 客戶工作負載會部署為容器,並共用相同的虛擬機器。 相較於虛擬機器所提供的強勢隔離保證,容器間使用的是流程隔離形式,為較弱的隔離形式。
4 容器會透過重疊網路與彼此進行通訊。 管理員可以設定 Calico 原則,以定義容器間的網路隔離規則。 Calico 同時支援 Windows 和 Linux 容器,且為現況支援的開放原始碼產品。
5 在 Azure Stack HCI 上的 AKS 內建 Kubernetes 元件之間的通訊(包括 API 伺服器與容器主機之間的通訊),會透過憑證進行加密。 Azure Stack HCI 上的 AKS 針對內建憑證提供現成憑證佈建、更新和撤銷選項。
6 使用使用者的 AD 認證來保護與 Windows 用戶端電腦上 API 伺服器的通訊。
7 針對每個版本,Microsoft 會在 Azure Stack HCI 上的 AKS 提供 VHD,並在需要時套用適當的安全性修補程式。

應用程式安全性

下表說明適用於 Azure Stack HCI 上的 AKS 不同應用程式安全性選項。

注意

如果您要選擇,可在開放原始碼的生態系統中,使用開放原始碼應用程式的強化選項。

選項 Description
建置安全性 保護組建的目標在於產生映像時,避免將漏洞引入應用程式程式碼中或容器映像中。 與已啟用 Arc Kubernetes 的 Azure GitOps 整合可協助分析和觀察,讓開發人員有機會修正安全性問題。 如需詳細資訊,請參閱使用 GitOps 在已啟用 Arc Kubernetes 叢集上的 Azure Arc 部署設定
容器登錄安全性 容器登錄安全性是要確保在將容器的映像上傳至登錄、將映射儲存在登錄中,以及從登錄下載映像時,不會引入漏洞。 Azure Stack HCI 上的 AKS 建議使用 Azure Container Registry (ACR)。 ACR 隨附漏洞掃描和其他安全性功能。 如需詳細資訊,請參閱 Azure Container Registry 文件
AD 對於容器會識別使用 gMSA 的 Windows 工作負載 Windows 容器工作負載可以繼承容器主機的身分識別,並將其用於驗證。 透過新的增強功能,容器主機無須加入網域。 如需詳細資訊,請參閱 Windows 工作負載的 gMSA 整合

安全性內建功能

下表列出目前可在 Azure Stack HCI 上的 AKS 中使用的安全性內建功能。

安全性目標 功能
保護 API 伺服器的存取權。 針對 PowerShell 和 Windows Admin Center 用戶端支援的 Active Directory 單一登入。 這項功能目前僅針對工作負載叢集啟用。
確保控制平面內建的 Kubernetes 元件間的所有通訊均受到保護。 這包含確保 API 伺服器和工作負載叢集間的通訊安全無虞。 全自動內建憑證解決方案可用於佈建、更新和撤銷憑證。 若要深入了解,請參閱使用憑證進行安全通訊
使用金鑰管理伺服器 (KMS) 外掛程式,將 Kubernetes 密碼存放區 (etcd) 的加密金鑰進行輪替。 使用指定的 KMS 提供者來整合和協調金鑰輪替的外掛程式。 若要深入了解,請參閱加密 etcd 秘密
針對支援 Windows 和 Linux 容器工作負載的容器進行即時威脅監視。 將適用於已啟用 Arc 的 Kubernetes Azure Defender 整合,會提供為公開預覽功能,直到已啟用 Azure Arc 的 Kubernetes 威脅偵測正式發行為止。 如需詳細資訊,請參閱保護已啟用 Azure Arc 的 Kubernetes 叢集
Windows 工作負載的 AD 身分識別。 使用 Windows 工作負載的 gMSA 整合來設定 AD 身分識別。
支援 Calico 原則來保護 pod 之間的流量 若要使用 Calico 原則,請參閱使用網路原則來保護 pod 之間的流量

後續步驟

在本主題中,您已了解保護 Azure Stack HCI 上的 AKS 的概念,以及保護 Kubernetes 叢集上的應用程式。