Práticas recomendadas para gerenciamento e segurança de imagens de contêiner no Serviço Kubernetes do Azure (AKS)
A segurança da imagem de contêiner e contêiner é uma prioridade importante ao desenvolver e executar aplicativos no Serviço Kubernetes do Azure (AKS). Contêineres com imagens base desatualizadas ou tempos de execução de aplicativos sem patches introduzem riscos de segurança e possíveis vetores de ataque. Você pode minimizar esses riscos integrando e executando ferramentas de verificação e correção em seus contêineres na compilação e no tempo de execução. Quanto mais cedo você detetar a vulnerabilidade ou a imagem base desatualizada, mais seguro será seu aplicativo.
Neste artigo, "contêineres" refere-se às imagens de contêiner armazenadas em um registro de contêiner e aos contêineres em execução.
Este artigo se concentra em como proteger seus contêineres no AKS. Sabe como:
- Analise e corrija vulnerabilidades de imagem.
- Acione e reimplante automaticamente imagens de contêiner quando uma imagem base for atualizada.
- Você pode ler as práticas recomendadas para segurança de cluster e segurança de pod.
- Você pode usar a segurança de contêiner no Defender for Cloud para ajudar a verificar seus contêineres em busca de vulnerabilidades. A integração do Azure Container Registry com o Defender for Cloud ajuda a proteger suas imagens e o registro contra vulnerabilidades.
Proteja as imagens e o tempo de execução
Orientações sobre boas práticas
- Analise suas imagens de contêiner em busca de vulnerabilidades.
- Implante apenas imagens validadas.
- Atualize regularmente as imagens base e o tempo de execução do aplicativo.
- Reimplantar cargas de trabalho no cluster AKS.
Ao adotar cargas de trabalho baseadas em contêiner, você deseja verificar a segurança das imagens e do tempo de execução usados para criar seus próprios aplicativos. Para ajudar a evitar a introdução de vulnerabilidades de segurança em suas implantações, você pode usar as seguintes práticas recomendadas:
- Inclua em seu fluxo de trabalho de implantação um processo para digitalizar imagens de contêiner usando ferramentas, como Twistlock ou Aqua.
- Permita apenas que imagens verificadas sejam implantadas.
Por exemplo, você pode usar um pipeline de integração contínua e implantação contínua (CI/CD) para automatizar as varreduras, verificações e implantações de imagens. O Registro de Contêiner do Azure inclui esses recursos de verificação de vulnerabilidades.
Crie automaticamente novas imagens na atualização de imagem base
Orientações sobre boas práticas
Ao usar imagens de base para imagens de aplicativos, use a automação para criar novas imagens quando a imagem base for atualizada. Como as imagens base atualizadas geralmente incluem correções de segurança, atualize todas as imagens de contêiner de aplicativos downstream.
Cada vez que uma imagem base é atualizada, você também deve atualizar quaisquer imagens de contêiner downstream. Integre esse processo de compilação em pipelines de validação e implantação, como o Azure Pipelines ou o Jenkins. Esses pipelines garantem que seus aplicativos continuem a ser executados nas imagens atualizadas. Depois que as imagens do contêiner do aplicativo forem validadas, você poderá atualizar as implantações do AKS para executar as imagens seguras mais recentes.
As Tarefas do Registro de Contêiner do Azure também podem atualizar automaticamente as imagens de contêiner quando a imagem base é atualizada. Com esse recurso, você cria algumas imagens base e as mantém atualizadas com correções de bugs e segurança.
Para obter mais informações sobre atualizações de imagem base, consulte Automatizar compilações de imagem na atualização de imagem base com Tarefas do Registro de Contêiner do Azure.
Próximos passos
Este artigo focou-se em como proteger os seus contentores. Para implementar algumas dessas áreas, consulte o seguinte artigo:
Azure Kubernetes Service