適用於:在 Windows Server 上運行的 AKS
Windows Server 上 AKS 的安全性涉及保護 Kubernetes 叢集上執行的基礎結構和應用程式。 Windows Server 上的 AKS 支援 Azure Kubernetes Service (AKS) 的混合式部署選項。 本文說明安全性強化措施和內建安全性功能,用來保護 Kubernetes 叢集上的基礎結構和應用程式。
基礎結構安全性
Windows Server 上的 AKS 會套用各種安全性措施來保護其基礎結構。 下圖醒目提示這些量值:
下表說明上圖所示 Windows Server 上 AKS 的安全性強化層面。 如需 AKS 部署基礎結構的概念性背景資訊,請參閱 叢集和工作負載。
| 安全性層面 | 描述 |
|---|---|
| 1 | 因為 AKS 主機可以存取所有工作負載 (目標) 叢集,因此此叢集可以是單一危害點。 不過,由於管理叢集的目的僅限於布建工作負載叢集並收集匯總的叢集計量,因此會謹慎控制對AKS主機的存取。 |
| 2 | 為了降低部署成本和複雜性,工作負載叢集會共用基礎 Windows Server。 不過,根據安全性需求,系統管理員可以選擇在專用的 Windows Server 上部署工作負載叢集。 當工作負載叢集共享基礎 Windows Server 時,每個叢集都會部署為虛擬機,以確保工作負載叢集之間的強式隔離保證。 |
| 3 | 客戶工作負載會部署為容器,並共用相同的虛擬機。 相較於虛擬機所提供的強隔離保證,容器之間的隔離是一種較弱的隔離形式。 |
| 4 | 容器會透過重疊網路彼此通訊。 系統管理員可以設定 Calico 原則,以定義容器之間的網路隔離規則。 AKS Arc 上的 Calico 原則支援僅適用於 Linux 容器,且依目前支援。 |
| 5 | Windows Server 上 AKS 的內建 Kubernetes 元件之間的通訊,包括 API 伺服器與容器主機之間的通訊,會透過憑證加密。 AKS 提供內建憑證的現成憑證配置、更新和撤銷功能。 |
| 6 | 使用使用者的 Microsoft Entra 認證來保護來自 Windows 用戶端電腦的 API 伺服器通訊。 |
| 7 | 針對每個版本,Microsoft提供 Windows Server 上 AKS VM 的 VHD,並視需要套用適當的安全性修補程式。 |
應用程式安全性
下表描述 Windows Server 上 AKS 中可用的不同應用程式安全性選項:
附註
您可以選擇使用 開放原始碼 生態系統中可用的 開放原始碼 應用程式強化選項。
| 選項 | 描述 |
|---|---|
| 建置安全性 | 保護組建的目標是在生成容器映像時,防止在應用程式代碼或容器映像中引入弱點。 與已啟用 Azure Arc 的 Kubernetes 的 Azure GitOps 整合有助於分析和監控,讓開發人員有機會修復安全問題。 如需詳細資訊,請參閱 在已啟用 Azure Arc 的 Kubernetes 叢集上使用 GitOps 部署組態。 |
| 容器登錄安全性 | 容器儲存庫安全性的目標是確保在將容器映像檔上傳至儲存庫時、映像檔儲存在儲存庫中,以及從儲存庫下載映像檔期間,不會引入任何漏洞。 AKS 建議使用 Azure Container Registry。 Azure Container Registry 隨附弱點掃描和其他安全性功能。 如需詳細資訊,請參閱 Azure Container Registry 檔。 |
| 使用 gMSA 的 Microsoft Entra 身分識別於 Windows 工作負載的容器中 | Windows 容器工作負載可以繼承容器主機的身分識別,並使用該身分識別進行驗證。 有了新的增強功能,容器主機不需要加入網域。 如需詳細資訊,請參閱 Windows 工作負載的 gMSA 整合。 |
內建安全性功能
本節說明 Windows Server 上 AKS 目前可用的內建安全性功能:
| 安全性目標 | 功能 |
|---|---|
| 保護對 API 伺服器的存取。 | PowerShell 和 Windows Admin Center 用戶端的 Active Directory 單一登錄 支援。 此功能目前僅針對工作負載叢集啟用。 |
| 確保控制平面內建 Kubernetes 元件之間的所有通訊都安全無虞。 這包括確保 API 伺服器與工作負載叢集之間的通訊也安全無虞。 | 零觸控內建憑證解決方案,可布建、更新和撤銷憑證。 如需詳細資訊,請參閱 使用憑證進行安全通訊。 |
| 使用金鑰管理伺服器(KMS)外掛程式更新 Kubernetes 秘密存儲(etcd)的加密金鑰。 | 外掛程式,用於整合及協調密鑰輪替與指定的 KMS 提供者。 若要深入瞭解,請參閱 加密 etcd 秘密。 |
| 支援 Windows 和 Linux 容器工作負載的容器即時威脅監視。 | 與 Azure Arc 連線的 Kubernetes Azure Defender 整合,目前作為 Kubernetes 威脅偵測功能的公開預覽,直到 Kubernetes 連接至 Azure Arc 的威脅偵測功能正式發佈為止。如需詳細資訊,請參閱 保護已啟用 Azure Arc 的 Kubernetes 叢集。 |
| Microsoft Entra 身分識別適用於 Windows 工作負載。 | 使用gMSA 整合來針對 Windows 工作負載設定 Microsoft Entra 身分識別。 |
| 支援 Calico 策略以保護 Pod 之間的流量 | 容器會透過重疊網路彼此通訊。 系統管理員可以設定 Calico 原則,以定義容器之間的網路隔離規則。 AKS Arc 上的 Calico 原則支援僅適用於 Linux 容器,且依目前支援。 |
下一步
在本文中,您已瞭解在 Windows Server 上保護 AKS 的概念,以及保護 Kubernetes 叢集上的應用程式。