共用方式為


Azure Kubernetes Services (AKS) 中的容器映像管理與安全性最佳做法

當 AKS Azure Kubernetes Service (AKS) 中開發和執行應用程式時,容器和容器映像安全性為主要優先考量。 包含過期基底映像或未修補的應用程式執行階段的容器,易招致安全性風險和可能的攻擊媒介。 您可以在建置和執行時間整合及執行容器中的掃描和補救工具,以將風險降至最低。 您越早發現弱點或過時的基底映像,您的應用程式就越安全。

在本文中,「容器」指容器登錄中儲存的容器映像與執行中的容器。

本文著重在如何保護 AKS 中的容器。 您將學習如何:

  • 掃描和修復映像弱點。
  • 更新基底映像時,自動觸發和重新部署容器映像。

保護映像與執行階段

最佳做法指導方針

  • 掃描容器映像是否存在弱點。
  • 僅部署經驗證的映像。
  • 定期更新基底映像和應用程式執行時間。
  • 在 AKS 叢集中重新部署工作負載。

採用容器型工作負載時,您應該驗證用來建立應用程式之映像和執行時間的安全性。 為了避免在部署中引入安全性弱點,您可以使用下列最佳做法:

  • 在您的部署工作流程中納入使用 TwistlockAqua 等工具掃描容器映像的程序。
  • 僅允許部署經驗證的映像。

掃描和修復容器映像、驗證及部署

例如,您可以使用持續整合與持續部署 (CI/CD) 管線,將映像掃描、驗證及部署自動化。 Azure Container Registry 包含這些弱點掃描功能。

在基底映像更新時,自動建置新的映像

最佳做法指導方針

當您使用基底映像作為應用程式映像時,在更新基底映像時,使用自動化功能建置新的映像。 因為這些基底映像通常包含安全性修正程式,請一併更新任何下游應用程式的容器映像。

每次更新基底映像時,您也應該更新任何下游的容器映像。 此建置流程應與 Azure Pipelines 或 Jenkins 等驗證和部署管線整合。 這些管線可確保應用程式會持續在更新的基底映像上執行。 驗證應用程式容器映像之後,您可以接著更新 AKS 部署以執行最新且安全的映像。

Azure Container Registry 工作也可在更新基底映像時自動更新容器映像。 透過此功能,您可以建立一些基底映像並使用錯誤和安全性修正維持最新狀態。

如需基底映像更新的詳細資訊,請參閱使用 Azure Container Registry 工作在基底映像更新時自動執行映像建置

下一步

本文著重在如何保護您的容器。 若要實作這些部分的一些內容,請參閱下列文章: