網路安全性為您的 Kubernetes 叢集提供額外的防禦層。 本文討論如何使用網路原則、基礎結構設定和 Azure 特定功能來控制流量、區隔工作負載,以及協助保護通訊。 實作這些措施有助於減少受攻擊面,並限制未經授權存取您的資源。
設定 Kubernetes 網路原則,以控制您工作負載的輸出/輸入存取
除了 協助透過 TLS 保護叢集的工作負載數據流量之外,您還可以透過建立 網路原則來協助進一步保護它。 這些原則控制可接收輸入要求的 Pod、命名空間和 IP 位址,以及可向哪些 Pod、命名空間和 IP 位址傳送輸出要求。 您必須部署網路原則引擎來強制執行這些原則。 評估您是否可以在叢集中使用 Calico 或 Cillium 引擎。
參考資料
- CIS Kubernetes 基準 - 第 1、2 和 4 節 (英文)
- NIST 應用程式容器安全性指南 - 第 4.5.1-3 節
- NSA Kubernetes 強化指導 -「網路原則」 (英文)
- Kubernetes 安全性 - OWASP 速查表系列 –「使用 Kubernetes 網路原則來控制流量」
設定網路基礎結構以進一步深度防禦
您也可以藉由適當地設定基礎結構的網路,為您的管理和數據流量建立進一步的深度防禦。 例如,如果您在 Azure Local 上使用 Azure Arc 啟用的 AKS,您應該檢閱叢集 IP 位址規劃的 指引。 如果您的工作負載不需要存取 API 伺服器,請考慮完全分隔管理和數據流量。
此外,建議您評估組織的外部防火牆規則,使其與您在 Kubernetes 和基礎結構層設定的規則一致。 僅啟用嚴格必要的輸出和輸入目的地,不啟用其他。 您也可以使用 Azure Arc 閘道(預覽版) 來簡化啟用叢集存取 Azure 資源所需的防火牆規則。
參考資料
使用 Azure Private Link (預覽版) 來存取 Azure 資源
除了協助使用 TLS 和工作負載身分識別同盟來保護您的 Azure 流量外,還請考慮使用 Azure Private Link(適用於已啟用 Arc 功能的叢集,預覽版)。 此功能會在 Azure Arc 的雲端虛擬網路內設定私人端點,以及其他服務,例如 Azure Key Vault。 接著,您可以使用站對站 VPN 或 ExpressRoute 線路 (部分內容可能是機器或 AI 翻譯),將此網路本身連線到您的內部部署環境。 評估 優點 和 目前的限制 ,以決定此解決方案是否適合您。
後續步驟
- 返回此安全書籍的開頭