Stratégies intégrées pour AKS
Maintenant que vous avez créé un cluster Azure Kubernetes Service (AKS) avec le module complémentaire de stratégie activé, vous devez trouver les définitions de stratégie que vous souhaitez affecter à votre environnement. Dans cette section, vous allez apprendre à découvrir des stratégies et, dans la section suivante, vous allez découvrir un exemple d’affectation de ces stratégies.
Types de stratégies Azure pour AKS
Il existe deux types de stratégies Azure qui peuvent être appliquées à AKS : les stratégies de cluster ou les stratégies de charge de travail.
Les stratégies de cluster couvrent le cluster lui-même, pas la charge de travail exécutée sur le cluster. Vous configurez ces stratégies pour appliquer la configuration du cluster. Parmi les exemples de ces stratégies, citons Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes et Le contrôle d’accès en fonction du rôle doit être utilisé sur les services Kubernetes.
Les stratégies de charge de travail couvrent les applications qui s’exécutent dans votre cluster. Les stratégies de charge de travail sont utilisées pour appliquer la configuration à l’intérieur du cluster Kubernetes. Ces stratégies s’appuient sur la stratégie Azure pour que le module complémentaire Kubernetes fonctionne correctement. Parmi les exemples de ces stratégies, citons Les conteneurs de clusters Kubernetes doivent uniquement utiliser des images autorisées et Les pods de cluster Kubernetes doivent uniquement utiliser des types de volumes autorisés.
Il est utile de réfléchir aux stratégies Azure pour Kubernetes de cette façon : Elles vous permettent de faire la distinction entre les stratégies qui ont un impact sur le cluster ou sur l’application exécutée sur le cluster. Il est important de noter que ces différents types de stratégie ne sont pas distingués lors de la découverte de stratégie.
Découverte des stratégies Azure intégrées pour Kubernetes
Il existe deux façons de découvrir des stratégies Azure intégrées pour Kubernetes :
- Utilisez la documentation Azure, qui détaille les stratégies intégrées.
- Utilisez le panneau de stratégie Azure dans le Portail Microsoft Azure, accédez aux définitions et filtrez sur la catégorie Kubernetes.
Vous pouvez affecter une ou plusieurs de ces définitions de stratégie à vos groupes d’administration, abonnements ou groupes de ressources. Dans l’unité suivante, vous suivez un exercice qui vous guidera tout au long de la procédure à suivre.
Initiative de stratégie : Standards de base de référence de la sécurité des pods de cluster Kubernetes pour les charges de travail basées sur Linux
Azure Policy pour Kubernetes a également plusieurs initiatives de stratégie. Une initiative de stratégie est une collection de définitions de stratégie. Deux des initiatives pour Kubernetes sont les suivantes :
- Normes de référence liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux
- Normes restreintes liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux
La version de référence comprend cinq définitions de stratégie axées sur la fourniture d’une base de référence de la sécurité pour vos charges de travail Kubernetes. La version limitée comprend un total de huit définitions de stratégie pour davantage d’environnements de sécurité limités.
Vous pouvez affecter ces initiatives à vos groupes d’administration, abonnements ou groupes de ressources Azure avec un cluster AKS pour appliquer une base de référence de la sécurité cohérente.