Segurança de clusters e aplicações

Familiarize-se com os fundamentos de segurança do Kubernetes e revise a configuração segura para clusters e as diretrizes de segurança de aplicativos. A segurança do Kubernetes é importante durante todo o ciclo de vida do contêiner devido à natureza distribuída e dinâmica de um cluster do Kubernetes. Os aplicativos são tão seguros quanto o elo mais fraco da cadeia de serviços que compõem a segurança do aplicativo.

Planeje, treine e comprove

À medida que você começa, a lista de verificação de fundamentos de segurança e os recursos de segurança do Kubernetes abaixo ajudarão você a planejar operações de cluster e segurança de aplicativos. No final desta seção, você poderá responder a estas perguntas:

• Você analisou o modelo de segurança e ameaças dos clusters Kubernetes?
• Seu cluster está habilitado para o controle de acesso baseado em função do Kubernetes?

Lista de verificação de segurança:

• Familiarize-se com o white paper sobre os fundamentos de segurança. Os principais objetivos de um ambiente Kubernetes seguro são garantir que os aplicativos executados sejam protegidos, que problemas de segurança possam ser identificados e resolvidos rapidamente e que futuros problemas semelhantes sejam evitados. Para obter mais informações, consulte The Definitive Guide to Securing Kubernetes (white paper).

• Revise a configuração de proteção de segurança para os nós do cluster. Um sistema operacional host com segurança reforçada reduz a área de superfície do ataque e permite a implantação segura de contêineres. Para saber mais, consulte Proteção de segurança em hosts de máquinas virtuais AKS.

• Configure o cluster de controle de acesso baseado em função do Kubernetes (Kubernetes RBAC). Esse mecanismo de controle permite atribuir aos usuários, ou grupos de usuários, permissão para fazer coisas como criar ou modificar recursos ou exibir logs de cargas de trabalho de aplicativos em execução.

  Para obter mais informações, veja

  • Compreender o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) (vídeo)
    
  • Integrar o Microsoft Entra ID com o Serviço Kubernetes do Azure
    
  • Limitar o acesso ao arquivo de configuração do cluster

Implante na produção e aplique as práticas recomendadas de segurança do Kubernetes

Ao preparar o aplicativo para produção, implemente um conjunto mínimo de práticas recomendadas. Utilize esta lista de verificação nesta fase. No final desta seção, você poderá responder a estas perguntas:

• Você configurou regras de segurança de rede para entrada, saída e comunicação intra-pod?
• O cluster está configurado para aplicar automaticamente as atualizações de segurança do nó?
• Você está executando uma solução de verificação de segurança para seus serviços de cluster e contêiner?

Lista de verificação de segurança:

• Controle o acesso a clusters usando a associação ao grupo. Configure o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) para limitar o acesso aos recursos do cluster com base na identidade do usuário ou na associação ao grupo. Para obter mais informações, consulte Controlar o acesso a recursos de cluster usando identidades Kubernetes RBAC e Microsoft Entra.

• Crie uma política de gerenciamento de segredos. Implante e gerencie com segurança informações confidenciais, como senhas e certificados, usando o gerenciamento de segredos no Kubernetes. Para obter mais informações, consulte Compreender o gerenciamento de segredos no Kubernetes (vídeo).

• Proteja o tráfego de rede intrapod com políticas de rede. Aplique o princípio do menor privilégio para controlar o fluxo de tráfego de rede entre pods no cluster. Para obter mais informações, consulte Proteger o tráfego intrapod com políticas de rede.

• Restrinja o acesso ao servidor de API usando IPs autorizados. Melhore a segurança do cluster e minimize a superfície de ataque limitando o acesso ao servidor de API a um conjunto limitado de intervalos de endereços IP. Para obter mais informações, consulte Acesso seguro ao servidor de API.

• Restrinja o tráfego de saída do cluster. Saiba quais portas e endereços permitir se você restringir o tráfego de saída para o cluster. Você pode usar o Firewall do Azure ou um dispositivo de firewall de terceiros para proteger seu tráfego de saída e definir essas portas e endereços necessários. Para saber mais, consulte Controlar o tráfego de saída para nós de cluster no AKS.

• Proteja o tráfego com o Web Application Firewall (WAF). Use o Gateway de Aplicativo do Azure como um controlador de entrada para clusters Kubernetes. Para obter mais informações, consulte Configurar o Gateway de Aplicativo do Azure como um controlador de entrada.

• Aplique atualizações de segurança e kernel aos nós de trabalho. Entenda a experiência de atualização do nó AKS. Para proteger seus clusters, as atualizações de segurança são aplicadas automaticamente aos nós Linux no AKS. Essas atualizações incluem correções de segurança do sistema operacional ou atualizações do kernel. Algumas dessas atualizações exigem uma reinicialização do nó para concluir o processo. Para saber mais, consulte Usar kured para reinicializar automaticamente nós para aplicar atualizações.

• Configure uma solução de verificação de contêiner e cluster. Analise contêineres enviados por push para o Registro de Contêiner do Azure e obtenha visibilidade mais profunda para seus nós de cluster, tráfego de nuvem e controles de segurança.

  Para mais informações, consulte:

  • Integração do Azure Container Registry com o Defender for Cloud
    
  • Integração do Serviço Kubernetes do Azure com o Defender for Cloud

Otimize e dimensione

Agora que o aplicativo está em produção, como você pode otimizar seu fluxo de trabalho e preparar seu aplicativo e sua equipe para escalar? Use a lista de verificação de otimização e dimensionamento para se preparar. No final desta seção, você poderá responder a esta pergunta:

• É possível aplicar políticas de governança e cluster em escala?

Lista de verificação de segurança:

• Aplique políticas de governança de cluster. Aplique imposições e proteções em escala em seus clusters de maneira centralizada e consistente. Para saber mais, consulte Controlar implantações com a Política do Azure.

• Gire certificados de cluster periodicamente. O Kubernetes usa certificados para autenticação com muitos de seus componentes. Talvez você queira alternar periodicamente esses certificados por motivos de segurança ou política. Para saber mais, consulte Girar certificados no Serviço Kubernetes do Azure (AKS).