Zabezpečení aplikací a clusterů

Seznamte se se základy zabezpečení Kubernetes a projděte si bezpečnostní nastavení pro clustery a pokyny k zabezpečení aplikací. Zabezpečení Kubernetes je důležité v průběhu celého životního cyklu kontejneru kvůli distribuované dynamické povaze clusteru Kubernetes. Aplikace jsou stejně zabezpečené jako nejslabší propojení v řetězu služeb, které tvoří zabezpečení aplikace.

Plánování, trénování a testování

Jakmile začnete, kontrolní seznam základy zabezpečení a níže uvedené prostředky zabezpečení Kubernetes vám pomůžou naplánovat operace clusteru a zabezpečení aplikací. Na konci této části budete moct odpovědět na tyto otázky:

• Prošli jste si model zabezpečení a ohrožení clusterů Kubernetes?
• Je váš cluster povolený pro řízení přístupu na základě role Kubernetes?

Kontrolní seznam zabezpečení:

• Seznamte se s dokumentem White Paper o základních bezpečnostních prvcích. Hlavními cíli zabezpečeného prostředí Kubernetes je zajistit ochranu aplikací, které spouští, aby bylo možné identifikovat a rychle řešit problémy se zabezpečením a aby se zabránilo budoucím podobným problémům. Další informace najdete v dokumentu The Definitive Guide to Securing Kubernetes white paper.

• Zkontrolujte nastavení posílení zabezpečení pro uzly clusteru. Bezpečnostní posílený hostitelský operační systém snižuje prostor útoku a umožňuje bezpečně nasazovat kontejnery. Další informace najdete v tématu Posílení zabezpečení v hostitelích virtuálních počítačů AKS.

• Nastavení řízení přístupu na základě role v clusteru Kubernetes (Kubernetes RBAC) Tento řídicí mechanismus umožňuje přiřazovat uživatele nebo skupiny uživatelů, oprávnění provádět akce, jako je vytváření nebo úpravy prostředků, nebo zobrazovat protokoly ze spuštěných úloh aplikace.

  Další informace viz

  • Principy řízení přístupu na základě role Kubernetes (Kubernetes RBAC) (video)
    
  • Integrace ID Microsoft Entra se službou Azure Kubernetes Service
    
  • Omezení přístupu ke konfiguračnímu souboru clusteru

Nasazení do produkčního prostředí a použití osvědčených postupů zabezpečení Kubernetes

Při přípravě aplikace na produkční prostředí implementujte minimální sadu osvědčených postupů. Tento kontrolní seznam použijte v této fázi. Na konci této části budete moct odpovědět na tyto otázky:

• Nastavili jste pravidla zabezpečení sítě pro příchozí přenos dat, výchozí přenos dat a komunikaci uvnitř podu?
• Je váš cluster nastavený tak, aby automaticky použil aktualizace zabezpečení uzlů?
• Používáte řešení kontroly zabezpečení pro cluster a kontejnerové služby?

Kontrolní seznam zabezpečení:

• Řízení přístupu ke clusterům pomocí členství ve skupinách Nakonfigurujte řízení přístupu na základě role Kubernetes (Kubernetes RBAC) pro omezení přístupu k prostředkům clusteru na základě identity uživatele nebo členství ve skupině. Další informace najdete v tématu Řízení přístupu k prostředkům clusteru pomocí RBAC Kubernetes a identit Microsoft Entra.

• Vytvořte zásady správy tajných kódů. Bezpečně nasaďte a spravujte citlivé informace, jako jsou hesla a certifikáty, pomocí správy tajných kódů v Kubernetes. Další informace najdete v tématu Vysvětlení správy tajných kódů v Kubernetes (video).

• Zabezpečení síťového provozu uvnitř podu pomocí zásad sítě Použití principu nejnižšího oprávnění k řízení toku síťového provozu mezi pody v clusteru. Další informace najdete v tématu Zabezpečení provozu uvnitř podu pomocí zásad sítě.

• Omezte přístup k serveru rozhraní API pomocí autorizovaných IP adres. Vylepšete zabezpečení clusteru a minimalizujte prostor pro útoky omezením přístupu k serveru api na omezenou sadu rozsahů IP adres. Další informace najdete v tématu Zabezpečení přístupu k serveru rozhraní API.

• Omezení výchozího provozu clusteru Zjistěte, jaké porty a adresy se mají povolit, pokud omezíte odchozí provoz pro cluster. K zabezpečení odchozího provozu a definování těchto požadovaných portů a adres můžete použít Azure Firewall nebo zařízení brány firewall třetí strany. Další informace najdete v tématu Řízení výchozího přenosu dat pro uzly clusteru v AKS.

• Zabezpečený provoz pomocí firewallu webových aplikací (WAF). Pro clustery Kubernetes použijte Aplikace Azure Gateway jako kontroler příchozího přenosu dat. Další informace najdete v tématu Konfigurace brány Aplikace Azure jako kontroleru příchozího přenosu dat.

• Nainstalujte aktualizace zabezpečení a jádra na pracovní uzly. Seznamte se s prostředím aktualizace uzlů AKS. Kvůli ochraně clusterů se aktualizace zabezpečení automaticky použijí na uzly Linuxu v AKS. Mezi tyto aktualizace patří opravy zabezpečení operačního systému nebo aktualizace jádra. Některé z těchto aktualizací vyžadují restartování uzlu, aby se proces dokončil. Další informace najdete v tématu Použití kured k automatickému restartování uzlů pro instalaci aktualizací.

• Nakonfigurujte řešení pro kontrolu kontejnerů a clusterů. Prohledejte kontejnery vložené do služby Azure Container Registry a získejte hlubší přehled o uzlech clusteru, cloudovém provozu a kontrolních prvcích zabezpečení.

  Další informace naleznete zde:

  • Integrace služby Azure Container Registry s defenderem pro cloud
    
  • Integrace služby Azure Kubernetes Service s defenderem pro cloud

Optimalizace a škálování

Teď, když je aplikace v produkčním prostředí, jak můžete optimalizovat pracovní postup a připravit aplikaci a tým na škálování? K přípravě použijte kontrolní seznam pro optimalizaci a škálování. Na konci této části budete moct odpovědět na tuto otázku:

• Můžete ve velkém vynutit zásady správného řízení a clusteru?

Kontrolní seznam zabezpečení:

• Vynucujte zásady správného řízení clusteru. Vynucování a zabezpečení v clusterech můžete vynucovat ve velkém měřítku centralizovaným a konzistentním způsobem. Další informace najdete v tématu Řízení nasazení pomocí Azure Policy.

• Pravidelně obměňovat certifikáty clusteru. Kubernetes používá k ověřování certifikáty s mnoha jeho komponentami. Tyto certifikáty můžete pravidelně obměňovat z důvodů zabezpečení nebo zásad. Další informace najdete v tématu Obměna certifikátů ve službě Azure Kubernetes Service (AKS).