Conceitos de segurança no AKS habilitados pelo Azure Arc
Aplica-se a: AKS no Azure Stack HCI 22H2, AKS no Windows Server
A segurança no AKS habilitada pelo Azure Arc envolve a proteção da infraestrutura e dos aplicativos em execução no cluster Kubernetes. O AKS habilitado pela Arc dá suporte a opções de implantação híbrida para o Serviço Kubernetes do Azure (AKS). Este artigo descreve as medidas de proteção de segurança e os recursos de segurança internos usados para proteger a infraestrutura e os aplicativos em clusters Kubernetes.
Segurança de infraestrutura
O AKS habilitado pela Arc aplica várias medidas de segurança para proteger sua infraestrutura. O diagrama seguinte destaca estas medidas:
A tabela a seguir descreve os aspetos de proteção de segurança do AKS no Azure Local que são mostrados no diagrama anterior. Para obter informações básicas conceituais sobre a infraestrutura para uma implantação do AKS, consulte Clusters e cargas de trabalho.
| Aspeto de segurança | Description |
|---|---|
| 5 | Como o host AKS tem acesso a todos os clusters de carga de trabalho (destino), esse cluster pode ser um único ponto de comprometimento. No entanto, o acesso ao host AKS é cuidadosamente controlado, pois a finalidade do cluster de gerenciamento é limitada ao provisionamento de clusters de carga de trabalho e à coleta de métricas de cluster agregadas. |
| 2 | Para reduzir o custo e a complexidade da implantação, os clusters de carga de trabalho compartilham o Windows Server subjacente. No entanto, dependendo das necessidades de segurança, os administradores podem optar por implantar um cluster de carga de trabalho em um Windows Server dedicado. Quando os clusters de carga de trabalho compartilham o Windows Server subjacente, cada cluster é implantado como uma máquina virtual, o que garante fortes garantias de isolamento entre os clusters de carga de trabalho. |
| 3 | As cargas de trabalho do cliente são implantadas como contêineres e compartilham a mesma máquina virtual. Os contêineres são isolados de processo uns dos outros, o que é uma forma mais fraca de isolamento em comparação com fortes garantias de isolamento oferecidas por máquinas virtuais. |
| 4 | Os contêineres se comunicam entre si por meio de uma rede de sobreposição. Os administradores podem configurar as políticas do Calico para definir regras de isolamento de rede entre contêineres. O suporte à política do Calico no AKS Arc é apenas para contêineres Linux e é suportado no estado em que se encontra. |
| 5 | A comunicação entre componentes Kubernetes internos do AKS no Azure Local, incluindo a comunicação entre o servidor de API e o host de contêiner, é criptografada por meio de certificados. O AKS oferece provisionamento, renovação e revogação de certificados prontos para uso para certificados internos. |
| 6 | A comunicação com o servidor de API de máquinas cliente Windows é protegida usando credenciais do Microsoft Entra para os usuários. |
| 7 | Para cada versão, a Microsoft fornece os VHDs para VMs AKS no Azure Local e aplica os patches de segurança apropriados quando necessário. |
Segurança de aplicações
A tabela a seguir descreve as diferentes opções de segurança de aplicativos disponíveis no AKS habilitado pelo Arc:
Nota
Você tem a opção de usar as opções de proteção de aplicativos de código aberto disponíveis no ecossistema de código aberto que você escolher.
| Opção | Description |
|---|---|
| Construa segurança | O objetivo para proteger compilações é evitar que vulnerabilidades sejam introduzidas no código do aplicativo ou nas imagens de contêiner quando as imagens são geradas. A integração com o Azure GitOps do Kubernetes, que é habilitado para Azure Arc, ajuda na análise e observação, o que dá aos desenvolvedores a oportunidade de corrigir problemas de segurança. Para obter mais informações, consulte Implantar configurações usando GitOps em um cluster Kubernetes habilitado para Azure Arc. |
| Segurança do registo de contentores | O objetivo da segurança do registro de contêiner é garantir que vulnerabilidades não sejam introduzidas ao carregar imagens de contêiner no registro, enquanto a imagem é armazenada no registro e durante downloads de imagens do registro. O AKS recomenda o uso do Azure Container Registry. O Azure Container Registry vem com verificação de vulnerabilidades e outros recursos de segurança. Para obter mais informações, consulte a documentação do Registro de Contêiner do Azure. |
| Identidades do Microsoft Entra para cargas de trabalho do Windows usando gMSA para contêineres | As cargas de trabalho de contêiner do Windows podem herdar a identidade do host de contêiner e usá-la para autenticação. Com os novos aprimoramentos, o host de contêiner não precisa ser associado ao domínio. Para obter mais informações, consulte Integração gMSA para cargas de trabalho do Windows. |
Funcionalidades de segurança incorporadas
Esta seção descreve os recursos de segurança internos que estão atualmente disponíveis no AKS habilitado pelo Azure Arc:
| Objetivo de segurança | Caraterística |
|---|---|
| Proteja o acesso ao servidor de API. | Suporte de logon único do Ative Directory para clientes PowerShell e Windows Admin Center. Atualmente, esse recurso está habilitado apenas para clusters de carga de trabalho. |
| Certifique-se de que toda a comunicação entre os componentes Kubernetes integrados do plano de controle seja segura. Isso inclui garantir que a comunicação entre o servidor de API e o cluster de carga de trabalho também seja segura. | Solução de certificado integrada zero touch para provisionar, renovar e revogar certificados. Para obter mais informações, consulte Comunicação segura com certificados. |
| Gire as chaves de criptografia do armazenamento secreto do Kubernetes (etcd) usando o plug-in KMS (Key Management Server). | Plug-in para integrar e orquestrar a rotação de chaves com o provedor KMS especificado. Para saber mais, consulte Criptografar segredos etcd. |
| Monitoramento de ameaças em tempo real para contêineres que suportam cargas de trabalho para contêineres Windows e Linux. | Integração com o Azure Defender for Kubernetes conectado ao Azure Arc, que é oferecido como um recurso de visualização pública até a versão GA da deteção de ameaças do Kubernetes para Kubernetes conectado ao Azure Arc. Para obter mais informações, consulte Defender clusters Kubernetes habilitados para Azure Arc. |
| Identidade Microsoft Entra para cargas de trabalho do Windows. | Use a integração gMSA para cargas de trabalho do Windows para configurar a identidade do Microsoft Entra. |
| Suporte para políticas Calico para proteger o tráfego entre pods | Os contêineres se comunicam entre si por meio de uma rede de sobreposição. Os administradores podem configurar as políticas do Calico para definir regras de isolamento de rede entre contêineres. O suporte à política do Calico no AKS Arc é apenas para contêineres Linux e é suportado no estado em que se encontra. |
Próximos passos
Neste tópico, você aprendeu sobre os conceitos para proteger o AKS habilitado pelo Azure Arc e sobre como proteger aplicativos em clusters Kubernetes.