Delen via

Aanbevolen procedures voor containerinstallatiekopieënbeheer en -beveiliging in Azure Kubernetes Service (AKS)

  • Artikel

Beveiliging van container- en containerinstallatiekopieën is een belangrijke prioriteit bij het ontwikkelen en uitvoeren van toepassingen in Azure Kubernetes Service (AKS). Containers met verouderde basisinstallatiekopieën of niet-gepatchte toepassingsruntimes veroorzaken beveiligingsrisico's en mogelijke aanvalsvectoren. U kunt deze risico's minimaliseren door tijdens de build en runtime scan- en herstelprogramma's in uw containers te integreren en uit te voeren. Hoe eerder u het beveiligingsprobleem of de verouderde basisinstallatiekopie onderschept, hoe veiliger uw toepassing is.

In dit artikel verwijst 'containers' naar zowel de containerinstallatiekopieën die zijn opgeslagen in een containerregister als actieve containers.

Dit artikel is gericht op het beveiligen van uw containers in AKS. U leert het volgende:

  • Scan en herstel beveiligingsproblemen met installatiekopieën.
  • Containerinstallatiekopieën automatisch activeren en opnieuw implementeren wanneer een basisinstallatiekopie wordt bijgewerkt.

De installatiekopieën en runtime beveiligen

Richtlijnen voor best practices

  • Scan uw containerinstallatiekopieën op beveiligingsproblemen.
  • Implementeer alleen gevalideerde installatiekopieën.
  • Werk regelmatig de basisinstallatiekopieën en de toepassingsruntime bij.
  • Implementeer workloads opnieuw in het AKS-cluster.

Wanneer u workloads op basis van containers gaat gebruiken, wilt u de beveiliging van installatiekopieën en runtime controleren die worden gebruikt om uw eigen toepassingen te bouwen. U kunt de volgende aanbevolen procedures gebruiken om beveiligingsproblemen in uw implementaties te voorkomen:

  • Neem in uw implementatiewerkstroom een proces op voor het scannen van containerinstallatiekopieën met behulp van hulpprogramma's, zoals Twistlock of Aqua.
  • Alleen geverifieerde installatiekopieën mogen worden geïmplementeerd.

Containerinstallatiekopieën scannen en herstellen, valideren en implementeren

U kunt bijvoorbeeld een pijplijn voor continue integratie en continue implementatie (CI/CD) gebruiken om de installatiekopiescans, verificatie en implementaties te automatiseren. Azure Container Registry bevat deze scanmogelijkheden voor beveiligingsproblemen.

Automatisch nieuwe installatiekopieën maken op basisinstallatiekopieën bijwerken

Richtlijnen voor best practices

Wanneer u basisinstallatiekopieën gebruikt voor toepassingsinstallatiekopieën, gebruikt u automatisering om nieuwe installatiekopieën te maken wanneer de basisinstallatiekopieën worden bijgewerkt. Aangezien bijgewerkte basisinstallatiekopieën doorgaans beveiligingsoplossingen bevatten, moet u eventuele containerinstallatiekopieën van downstreamtoepassingen bijwerken.

Telkens wanneer een basisinstallatiekopieën worden bijgewerkt, moet u ook eventuele downstreamcontainerinstallatiekopieën bijwerken. Integreer dit buildproces in validatie- en implementatiepijplijnen zoals Azure Pipelines of Jenkins. Deze pijplijnen zorgen ervoor dat uw toepassingen blijven worden uitgevoerd op de bijgewerkte installatiekopieën. Zodra de installatiekopieën van uw toepassingscontainer zijn gevalideerd, kunt u AKS-implementaties bijwerken om de meest recente beveiligde installatiekopieën uit te voeren.

Azure Container Registry Tasks kan ook automatisch containerinstallatiekopieën bijwerken wanneer de basisinstallatiekopieën worden bijgewerkt. Met deze functie bouwt u een paar basisinstallatiekopieën en houdt u deze bijgewerkt met bug- en beveiligingsoplossingen.

Zie Builds van installatiekopieën automatiseren op basisinstallatiekopieën bijwerken met Azure Container Registry Tasks voor meer informatie over updates van basisinstallatiekopieën.

Volgende stappen

Dit artikel is gericht op het beveiligen van uw containers. Raadpleeg het volgende artikel om een aantal van deze gebieden te implementeren: