Cluster- und Anwendungssicherheit

Machen Sie sich mit den Grundlagen der Kubernetes-Sicherheit vertraut, und sehen Sie sich die Anleitung zur sicheren Einrichtung der Cluster- und Anwendungssicherheit an. Die Kubernetes-Sicherheit ist aufgrund der verteilten, dynamischen Natur eines Kubernetes-Clusters während des gesamten Lebenszyklus von Containern wichtig. Anwendungen sind nur so sicher wie das schwächste Glied in der Kette der Dienste, aus denen die Sicherheit der Anwendung besteht.

Planen, Trainieren und Prüfen

Die Prüfliste der Sicherheitsgrundlagen und die unten aufgeführten Kubernetes-Sicherheitsressourcen helfen Ihnen bei der Planung der Clustervorgänge und der Sicherheit von Anwendungen. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgenden Fragen zu beantworten:

• Haben Sie das Sicherheits- und Bedrohungsmodell von Kubernetes-Clustern überprüft?
• Ist für Ihren Cluster die rollenbasierte Zugriffssteuerung für Kubernetes aktiviert?

Prüfliste für die Sicherheit:

• Vertrautmachen mit dem Whitepaper zu den Sicherheitsgrundlagen. Bei den Hauptzielen einer sicheren Kubernetes-Umgebung geht es um die Sicherstellung, dass die ausgeführten Anwendungen geschützt sind, dass die Sicherheitsprobleme schnell ermittelt und behoben werden können und dass ähnliche Probleme in Zukunft verhindert werden. Weitere Informationen finden Sie unter The Definitive Guide to Securing Kubernetes (Whitepaper).

• Informieren über die Einrichtung von gehärteten Clusterknoten aus Sicherheitsgründen: Mit einem aus Sicherheitsgründen gehärteten Hostbetriebssystem wird die Angriffsfläche reduziert und die sichere Bereitstellung von Containern ermöglicht. Weitere Informationen finden Sie unter Sicherheitshärtung bei AKS-Hosts für virtuelle Computer.

• Richten Sie die rollenbasierten Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) für den Cluster ein. Mit diesem Steuerungsmechanismus können Sie Benutzern oder Benutzergruppen die Berechtigung für bestimmte Aktionen (z. B. Ressourcen erstellen bzw. ändern oder Protokolle zur Workload ausgeführter Anwendungen anzeigen) zuweisen.

  Weitere Informationen finden Sie unter

  • Einführung in die rollenbasierte Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) (Video)
    
  • Integrieren von Microsoft Entra ID in Azure Kubernetes Service
    
  • Definieren des Zugriffs auf die Kubernetes-Konfigurationsdatei in Azure Kubernetes Service (AKS) mithilfe der rollenbasierten Zugriffssteuerung von Azure

Bereitstellen für die Produktionsumgebung und Anwenden bewährter Methoden für die Kubernetes-Sicherheit

Implementieren Sie beim Vorbereiten der Anwendung für die Produktionsumgebung einen Mindestsatz an bewährten Methoden. Verwenden Sie diese Prüfliste in dieser Phase. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgenden Fragen zu beantworten:

• Haben Sie Netzwerksicherheitsregeln für die eingehende, ausgehende und Pod-interne Kommunikation eingerichtet?
• Ist Ihr Cluster für die automatische Anwendung von Sicherheitsupdates für Knoten eingerichtet?
• Führen Sie für Ihre Cluster- und Containerdienste eine Lösung für Sicherheitsüberprüfungen aus?

Prüfliste für die Sicherheit:

• Steuern des Zugriffs auf Cluster per Gruppenmitgliedschaft: Konfigurieren Sie die rollenbasierte Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC), um den Zugriff auf Clusterressourcen anhand der Benutzeridentität oder Gruppenmitgliedschaft zu beschränken. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Clusterressourcen mithilfe von Kubernetes RBAC und Microsoft Entra-Identitäten.

• Erstellen einer Richtlinie für die Geheimnisverwaltung: Verwenden Sie die Geheimnisverwaltung von Kubernetes, um sensible Informationen, z. B. Kennwörter und Zertifikate, sicher bereitzustellen und zu verwalten. Weitere Informationen finden Sie unter Grundlagen der Verwaltung von Geheimnissen in Kubernetes (Video).

• Schützen des Netzwerkdatenverkehrs zwischen Pods mit Netzwerkrichtlinien: Wenden Sie das Prinzip der geringsten Rechte an, um den Netzwerkdatenverkehr zwischen den Pods im Cluster zu steuern. Weitere Informationen finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).

• Einschränken des Zugriffs auf den API-Server mit autorisierten IP-Adressen: Erhöhen Sie die Clustersicherheit, und reduzieren Sie die Angriffsfläche, indem Sie den Zugriff auf den API-Server auf eine begrenzte Zahl von IP-Adressbereichen beschränken. Weitere Informationen finden Sie unter Sicherer Zugriff auf den API-Server mit autorisierten IP-Adressbereichen in Azure Kubernetes Service (AKS).

• Beschränken des ausgehenden Datenverkehrs eines Clusters: Hier wird beschrieben, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken. Sie können Azure Firewall oder eine Firewallappliance eines Drittanbieters verwenden, um den ausgehenden Datenverkehr zu schützen und diese erforderlichen Ports und Adressen zu definieren. Weitere Informationen finden Sie unter Steuern des ausgehenden Datenverkehrs für Clusterknoten in Azure Kubernetes Service (AKS).

• Schützen des Datenverkehrs mit einer Web Application Firewall (WAF): Verwenden Sie Azure Application Gateway als Controller für den eingehenden Datenverkehr von Kubernetes-Clustern. Weitere Informationen finden Sie unter Was ist der Application Gateway-Eingangscontroller?.

• Anwenden von Sicherheits- und Kernelupdates auf Workerknoten: Grundlegendes zur Umgebung für AKS-Knotenupdates Sicherheitsupdates werden automatisch auf Linux-Knoten in AKS angewendet, um Ihre Cluster zu schützen. Diese Updates enthalten Sicherheitsfixes für das Betriebssystem oder Kernelupdates. Einige dieser Updates erfordern den Neustart eines Knotens, um den Vorgang abzuschließen. Weitere Informationen finden Sie unter Anwenden von Sicherheits- und Kernelupdates auf Linux-Knoten in Azure Kubernetes Service (AKS).

• Konfigurieren einer Lösung für die Container- und Clusterüberprüfung: Überprüfen Sie die in Azure Container Registry angeordneten Container, und verschaffen Sie sich tieferen Einblick in Ihre Clusterknoten, den Clouddatenverkehr und Sicherheitskontrollen.

  Weitere Informationen finden Sie unter

  • Integration von Defender für Cloud in Azure Container Registry
    
  • Integration von Defender für Cloud in Azure Kubernetes Service

Optimieren und Skalieren

Nachdem sich die Anwendung nun in der Produktion befindet, stellt sich die folgende Frage: Wie können Sie Ihren Workflow optimieren und Ihre Anwendung und das Team auf die Skalierung vorbereiten? Nutzen Sie für die Vorbereitung die Checkliste für die Optimierung und Skalierung. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgende Frage zu beantworten:

• Können Sie Governance- und Clusterrichtlinien bedarfsgesteuert erzwingen?

Prüfliste für die Sicherheit:

• Erzwingen von Governancerichtlinien für Cluster: Wenden Sie zentral und einheitlich bedarfsgesteuerte Erzwingungs- und Schutzmaßnahmen auf Ihre Cluster an. Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy für Azure Kubernetes Service.

• Regelmäßiges Rotieren von Clusterzertifikaten: In Kubernetes werden für viele Komponenten Zertifikate für die Authentifizierung genutzt. Es empfiehlt sich, diese Zertifikate aus Sicherheits- bzw. Richtliniengründen in regelmäßigen Abständen zu rotieren. Weitere Informationen finden Sie unter Rotieren von Zertifikaten in Azure Kubernetes Service (AKS).