Integrierte Richtlinien für AKS
Nachdem Sie nun einen AKS-Cluster (Azure Kubernetes Service) mit aktiviertem Richtlinien-Add-On erstellt haben, müssen Sie die Richtliniendefinitionen finden, die Sie Ihrer Umgebung zuweisen möchten. In diesem Abschnitt erfahren Sie, wie Sie Richtlinien suchen, und im nächsten Abschnitt wird dann Schritt für Schritt ein Beispiel zum Zuweisen dieser Richtlinien erläutert.
Typen von Azure-Richtlinien für AKS
Es gibt zwei Typen von Azure-Richtlinien, die auf AKS angewendet werden können: Clusterrichtlinien oder Workloadrichtlinien.
Clusterrichtlinien decken den Cluster selbst ab, nicht die Workload, die im Cluster ausgeführt wird. Sie konfigurieren diese Richtlinien, um die Clusterkonfiguration zu erzwingen. Beispiele für diese Richtlinien sind In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden und Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden.
Workloadrichtlinien decken die Anwendungen ab, die in Ihrem Cluster ausgeführt werden. Workloadrichtlinien werden verwendet, um die Konfiguration innerhalb des Kubernetes-Clusters zu erzwingen. Diese Richtlinien basieren darauf, dass das Azure-Richtlinien-Add-On für Kubernetes ordnungsgemäß funktioniert. Beispiele für diese Richtlinien sind Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden und Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden.
Es ist hilfreich, sich die Azure-Richtlinien für Kubernetes wie folgt vorzustellen: Sie ermöglichen es Ihnen, zwischen Richtlinien, die sich auf den Cluster auswirken, und denen für die im Cluster ausgeführte Anwendung zu unterscheiden. Wichtig: Diese verschiedenen Richtlinientypen werden während der Richtlinienermittlung nicht unterschieden.
Suchen integrierter Azure-Richtlinien für Kubernetes
Es gibt zwei Möglichkeiten, integrierte Azure-Richtlinien für Kubernetes zu suchen:
- Verwenden Sie die Azure-Dokumentation. Darin werden die integrierten Richtlinien ausführlich beschrieben.
- Navigieren Sie im Azure-Portal auf dem Blatt Azure-Richtlinie zu Definitionen, und filtern Sie nach der Kategorie Kubernetes.
Sie können Ihren Verwaltungsgruppen, Abonnements oder Ressourcengruppen eine oder mehrere dieser Richtliniendefinitionen zuweisen. In der nächsten Einheit folgt eine entsprechende Übung mit exemplarischer Vorgehensweise.
Richtlinieninitiative: Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods bei Linux-basierten Workloads
Azure Policy für Kubernetes verfügt auch über mehrere Richtlinieninitiativen. Eine Richtlinieninitiative ist eine Sammlung von Richtliniendefinitionen. Zwei der Initiativen für Kubernetes sind:
- Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads
- Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads
Die Baselineversion enthält fünf Richtliniendefinitionen, die sich auf die Bereitstellung einer Sicherheitsbaseline für Ihre Kubernetes-Workloads konzentrieren. Die eingeschränkte Version umfasst insgesamt acht Richtliniendefinitionen für Umgebungen mit mehr Sicherheitseinschränkungen.
Sie können diese Initiativen Ihren Azure-Verwaltungsgruppen, Abonnements oder Ressourcengruppen mit einem AKS-Cluster zuweisen, um eine konsistente Sicherheitsbaseline zu erzwingen.