Azure Kubernetes Services (AKS) 中的容器映像管理與安全性最佳做法
在 Azure Kubernetes Service (AKS) 中開發和執行應用程式時,容器和容器映射安全性是主要優先順序。 具有過期基底映射或未修補應用程式執行時間的容器,會產生安全性風險和可能的攻擊媒介。 您可以在建置和執行時間整合及執行容器中的掃描和補救工具,以將這些風險降至最低。 稍早您攔截到弱點或過期的基底映射,您的應用程式就越安全。
在本文中, 「容器」 是指儲存在容器登錄和執行中容器中的容器映射。
本文著重在如何保護 AKS 中的容器。 您會了解如何:
- 掃描和修復映像弱點。
- 更新基底映像時,自動觸發和重新部署容器映像。
- 您可以閱讀 叢集安全性和Pod 安全性的最佳做法。
- 您可以使用 適用于雲端的 Defender 中的容器安全性 來協助掃描容器是否有弱點。 Azure Container Registry 與 Defender for Cloud 的整合可協助您保護映像和登錄免於弱點影響。
保護映射和執行時間
最佳做法指導方針
- 掃描容器映像是否存在弱點。
- 僅部署經驗證的映像。
- 定期更新基底映像和應用程式執行時間。
- 在 AKS 叢集中重新部署工作負載。
採用容器型工作負載時,您想要確認用來建置您自己的應用程式的映射和執行時間安全性。 若要協助避免在部署中引入安全性弱點,您可以使用下列最佳做法:
例如,您可以使用持續整合與持續部署 (CI/CD) 管線,將映像掃描、驗證及部署自動化。 Azure Container Registry 包含這些弱點掃描功能。
在基底映像更新時,自動建置新的映像
最佳做法指導方針
當您使用基底映像作為應用程式映像時,在更新基底映像時,使用自動化功能建置新的映像。 因為這些基底映像通常包含安全性修正程式,請一併更新任何下游應用程式的容器映像。
每次更新基底映像時,您也應該更新任何下游的容器映像。 此建置流程應與 Azure Pipelines 或 Jenkins 等驗證和部署管線整合。 這些管線可確保您的應用程式繼續在更新的映射上執行。 驗證應用程式容器映射之後,您就可以更新 AKS 部署來執行最新的安全映射。
Azure Container Registry 工作也可在更新基底映像時自動更新容器映像。 透過此功能,您可以建立一些基底映像並使用錯誤和安全性修正維持最新狀態。
如需基底映像更新的詳細資訊,請參閱使用 Azure Container Registry 工作在基底映像更新時自動執行映像建置。
後續步驟
本文著重在如何保護您的容器。 若要實作其中一些區域,請參閱下列文章: