Azure Kubernetes Services (AKS) 中的容器映像管理與安全性最佳做法

當 AKS Azure Kubernetes Service (AKS) 中開發和執行應用程式時，容器和容器映像安全性為主要優先考量。 包含過期基底映像或未修補的應用程式執行階段的容器，易招致安全性風險和可能的攻擊媒介。 您可以在建置和執行時間整合及執行容器中的掃描和補救工具，以將風險降至最低。 您越早發現弱點或過時的基底映像，您的應用程式就越安全。

在本文中，「容器」指容器登錄中儲存的容器映像與執行中的容器。

本文著重在如何保護 AKS 中的容器。 您將學習如何：

• 掃描和修復映像弱點。
• 更新基底映像時，自動觸發和重新部署容器映像。

• 您可以閱讀適用於叢集安全性與Pod 安全性的最佳做法。
• 您可以使用 Defender for Cloud 中的容器安全性來協助掃描容器是否存在弱點。 Azure Container Registry 與 Defender for Cloud 的整合可協助您保護映像和登錄免於弱點影響。

保護映像與執行階段

最佳做法指導方針

• 掃描容器映像是否存在弱點。
• 僅部署經驗證的映像。
• 定期更新基底映像和應用程式執行時間。
• 在 AKS 叢集中重新部署工作負載。

採用容器型工作負載時，您應該驗證用來建立應用程式之映像和執行時間的安全性。 為了避免在部署中引入安全性弱點，您可以使用下列最佳做法：

• 在您的部署工作流程中納入使用 Twistlock 或 Aqua 等工具掃描容器映像的程序。
• 僅允許部署經驗證的映像。

例如，您可以使用持續整合與持續部署 (CI/CD) 管線，將映像掃描、驗證及部署自動化。 Azure Container Registry 包含這些弱點掃描功能。

在基底映像更新時，自動建置新的映像

最佳做法指導方針

當您使用基底映像作為應用程式映像時，在更新基底映像時，使用自動化功能建置新的映像。 因為這些基底映像通常包含安全性修正程式，請一併更新任何下游應用程式的容器映像。

每次更新基底映像時，您也應該更新任何下游的容器映像。 此建置流程應與 Azure Pipelines 或 Jenkins 等驗證和部署管線整合。 這些管線可確保應用程式會持續在更新的基底映像上執行。 驗證應用程式容器映像之後，您可以接著更新 AKS 部署以執行最新且安全的映像。

Azure Container Registry 工作也可在更新基底映像時自動更新容器映像。 透過此功能，您可以建立一些基底映像並使用錯誤和安全性修正維持最新狀態。

如需基底映像更新的詳細資訊，請參閱使用 Azure Container Registry 工作在基底映像更新時自動執行映像建置。

下一步

本文著重在如何保護您的容器。 若要實作這些部分的一些內容，請參閱下列文章：

• 使用 Azure Container Registry 工作在基底映像更新時自動執行映像建置