Sicurezza di cluster e applicazioni

Acquisire familiarità con le informazioni di base sulla sicurezza di Kubernetes ed esaminare le indicazioni relative alla configurazione protetta per la sicurezza di cluster e applicazioni. La sicurezza di Kubernetes è importante per tutto il ciclo di vita del contenitore a causa della natura distribuita e dinamica di un cluster Kubernetes. Le applicazioni in termini di protezione sono l'anello più debole nella catena dei servizi che costituiscono la sicurezza dell'applicazione.

Pianificazione, training e prova

Quando si inizia, l'elenco di controllo per le informazioni di base sulla sicurezza e le risorse di sicurezza di Kubernetes sono utili per pianificare le operazioni dei cluster e la sicurezza delle applicazioni. Al termine di questa sezione, si potrà rispondere alle domande seguenti:

• È stato esaminato il modello di sicurezza e gestione delle minacce dei cluster Kubernetes?
• Il cluster è abilitato per il controllo degli accessi in base al ruolo di Kubernetes?

Elenco di controllo relativo alla sicurezza:

• Acquisire familiarità con il white paper delle informazioni di base sulla sicurezza. L'obiettivo principale di un ambiente Kubernetes sicuro è garantire che le applicazioni eseguite siano protette, che i problemi di sicurezza possano essere identificati e risolti rapidamente e che in futuro vengano evitati problemi simili. Per altre informazioni, vedere The Definitive Guide to Securing Kubernetes (white paper).

• Esaminare la configurazione della protezione avanzata per i nodi del cluster. Un sistema operativo host con protezione avanzata riduce la superficie di attacco e consente la distribuzione sicura dei contenitori. Per altre informazioni, vedere la sezione sulla protezione avanzata degli host macchina virtuale del servizio Azure Kubernetes.

• Configurare il controllo degli accessi in base al ruolo di Kubernetes. Questo meccanismo di controllo consente di assegnare a utenti o gruppi di utenti l'autorizzazione per eseguire operazioni come creare o modificare risorse o visualizzare i log dai carichi di lavoro dell'applicazione in esecuzione.

  Per altre informazioni, vedere

  • Informazioni sul controllo degli accessi in base al ruolo di Kubernetes (video)
    
  • Integrare Microsoft Entra ID con servizio Azure Kubernetes
    
  • Limitare l'accesso al file di configurazione del cluster

Distribuire nell'ambiente di produzione e applicare le procedure consigliate per la sicurezza di Kubernetes

Quando si prepara l'applicazione per la produzione, implementare un set minimo di procedure consigliate. In questa fase, usare questo elenco di controllo. Al termine di questa sezione, si potrà rispondere alle domande seguenti:

• Sono state impostate regole di sicurezza di rete per le comunicazioni in ingresso, in uscita e tra pod?
• Il cluster è configurato per applicare automaticamente gli aggiornamenti della sicurezza dei nodi?
• Si sta eseguendo una soluzione di analisi della sicurezza per i servizi cluster e contenitore?

Elenco di controllo relativo alla sicurezza:

• Controllare l'accesso ai cluster usando l'appartenenza ai gruppi. Configurare il controllo degli accessi in base al ruolo di Kubernetes per limitare l'accesso alle risorse del cluster in base all'identità utente o all'appartenenza al gruppo. Per altre informazioni, vedere Controllare l'accesso alle risorse del cluster usando il controllo degli accessi in base al ruolo di Kubernetes e le identità Di Microsoft Entra.

• Creare un criterio di gestione dei segreti. Distribuire e gestire in modo sicuro le informazioni riservate, ad esempio password e certificati, usando la gestione dei segreti in Kubernetes. Per altre informazioni, vedere Informazioni sulla gestione dei segreti in Kubernetes (video).

• Proteggere il traffico di rete tra pod con i criteri di rete. Applicare il principio dei privilegi minimi per controllare il flusso del traffico di rete tra i pod nel cluster. Per altre informazioni, vedere l'articolo sulla protezione del traffico tra i pod con i criteri di rete.

• Limitare l'accesso al server API usando indirizzi IP autorizzati. Migliorare la sicurezza del cluster e ridurre al minimo la superficie di attacco limitando l'accesso al server API a un set limitato di intervalli di indirizzi IP. Per altre informazioni, vedere Proteggere l'accesso al server API.

• Limitare il traffico in uscita del cluster. Informazioni sulle porte e sugli indirizzi da consentire se si limita il traffico in uscita per il cluster. È possibile usare il servizio Firewall di Azure o un'appliance firewall di terze parti per proteggere il traffico in uscita e definire le porte e gli indirizzi necessari. Per altre informazioni, vedere Controllare il traffico in uscita per i nodi del cluster nel servizio Azure Kubernetes.

• Proteggere il traffico con un web application firewall (WAF). Usare il gateway applicazione di Azure come controller di ingresso per i cluster Kubernetes. Per altre informazioni, vedere l'articolo sulla configurazione del gateway applicazione di Azure come controller in ingresso.

• Applicare gli aggiornamenti della sicurezza e del kernel ai nodi di lavoro. Comprendere l'esperienza di aggiornamento del nodo del servizio Azure Kubernetes. Per proteggere i cluster, gli aggiornamenti di sicurezza vengono applicati automaticamente ai nodi Linux nel servizio Azure Kubernetes. Questi aggiornamenti includono correzioni della sicurezza del sistema operativo o gli aggiornamenti del kernel. Alcuni di questi aggiornamenti richiedono il riavvio di un nodo per completare il processo. Per altre informazioni, vedere la sezione sull'uso di Kured per riavviare automaticamente i nodi per applicare gli aggiornamenti.

• Configurare una soluzione di analisi di contenitori e cluster. Analizzare i contenitori di cui è stato eseguito il push nel Registro Azure Container e ottenere maggiore visibilità sui nodi del cluster, sul traffico cloud e sui controlli di sicurezza.

  Per altre informazioni, vedere:

  • Integrazione del Registro Azure Container con Defender for Cloud
    
  • Integrazione del servizio Azure Kubernetes con Defender for Cloud

Ottimizzare e dimensionare

Ora che l'applicazione è in produzione, come è possibile ottimizzare il flusso di lavoro e preparare l'applicazione e il team per la scalabilità? Per le attività di preparazione, usare l'elenco di controllo per l'ottimizzazione e il ridimensionamento. Al termine di questa sezione, si potrà rispondere alla domanda seguente:

• È possibile applicare criteri di governance e cluster su larga scala?

Elenco di controllo relativo alla sicurezza:

• Applicare i criteri di governance del cluster. È possibile applicare tutele e misure di sicurezza su larga scala per i cluster in uso in modo centralizzato e coerente. Per altre informazioni, vedere Controllare le distribuzioni con Criteri di Azure.

• Ruotare periodicamente i certificati cluster. Kubernetes usa i certificati per l'autenticazione con molti dei suoi componenti. È consigliabile ruotare periodicamente tali certificati per motivi di sicurezza o criteri. Per altre informazioni, vedere Ruotare i certificati nel servizio Azure Kubernetes.