Основные понятия безопасности в AKS, включенные Azure Arc
Область применения: AKS в Azure Stack HCI 22H2, AKS на Windows Server
Безопасность в AKS, включенная Azure Arc, включает защиту инфраструктуры и приложений, работающих в кластере Kubernetes. AKS, включенный Arc, поддерживает варианты гибридного развертывания для Служба Azure Kubernetes (AKS). В этой статье описываются меры защиты безопасности и встроенные функции безопасности, используемые для защиты инфраструктуры и приложений в кластерах Kubernetes.
Безопасность инфраструктуры
AKS, включенный Arc, применяет различные меры безопасности для защиты инфраструктуры. На следующей схеме показаны следующие меры:
В следующей таблице описаны аспекты обеспечения безопасности AKS в локальной среде Azure, показанные на предыдущей схеме. Общие сведения о инфраструктуре развертывания AKS см. в разделе "Кластеры и рабочие нагрузки".
| Аспект безопасности | Description |
|---|---|
| 1 | Так как узел AKS имеет доступ ко всем кластерам рабочей нагрузки (целевой), этот кластер может быть одной точкой компрометации. Однако доступ к узлу AKS тщательно контролируется, так как назначение кластера управления ограничено подготовкой кластеров рабочих нагрузок и сбором агрегированных метрик кластера. |
| 2 | Чтобы сократить затраты на развертывание и сложность, кластеры рабочих нагрузок используют базовый сервер Windows Server. Однако в зависимости от потребностей безопасности администраторы могут выбрать развертывание кластера рабочей нагрузки на выделенном сервере Windows Server. Когда кластеры рабочей нагрузки используют базовый сервер Windows Server, каждый кластер развертывается как виртуальная машина, что обеспечивает надежную изоляцию между кластерами рабочей нагрузки. |
| 3 | Рабочие нагрузки клиентов развертываются как контейнеры и совместно используют одну и ту же виртуальную машину. Контейнеры изолированы друг от друга, что является более слабой формой изоляции по сравнению с строгими гарантиями изоляции, предлагаемыми виртуальными машинами. |
| 4 | Контейнеры взаимодействуют друг с другом по сети наложения. Администраторы могут настроить политики Calico для определения правил сетевой изоляции между контейнерами. Поддержка политики Calico в AKS Arc доступна только для контейнеров Linux и поддерживается как есть. |
| 5 | Обмен данными между встроенными компонентами Kubernetes AKS в Azure Local, включая обмен данными между сервером API и узлом контейнера, шифруется с помощью сертификатов. AKS предлагает встроенную подготовку сертификатов, продление и отзыв для встроенных сертификатов. |
| 6 | Обмен данными с сервером API с клиентских компьютеров Windows защищен с помощью учетных данных Microsoft Entra для пользователей. |
| 7 | Для каждого выпуска корпорация Майкрософт предоставляет виртуальные жесткие диски для виртуальных машин AKS в локальной среде Azure и при необходимости применяет соответствующие исправления безопасности. |
Безопасность приложений
В следующей таблице описаны различные параметры безопасности приложений, доступные в AKS с поддержкой Arc:
Примечание.
Вы можете использовать варианты открытый код защиты приложений, доступные в выбранной экосистеме открытый код.
| Вариант | Описание |
|---|---|
| Безопасность сборки | Целью защиты сборок является предотвращение появления уязвимостей в коде приложения или в образах контейнеров при создании образов контейнеров. Интеграция с Azure GitOps Kubernetes с поддержкой Azure Arc помогает с анализом и наблюдением, что дает разработчикам возможность устранять проблемы с безопасностью. Дополнительные сведения см. в статье "Развертывание конфигураций с помощью GitOps" в кластере Kubernetes с поддержкой Azure Arc. |
| Безопасность реестра контейнеров | Целью безопасности реестра контейнеров является обеспечение того, чтобы уязвимости не появились при отправке образов контейнеров в реестр, а образ хранится в реестре и во время загрузки образов из реестра. AKS рекомендует использовать Реестр контейнеров Azure. Реестр контейнеров Azure поставляется с сканированием уязвимостей и другими функциями безопасности. Дополнительные сведения см. в документации по Реестр контейнеров Azure. |
| Удостоверения Microsoft Entra для рабочих нагрузок Windows с помощью gMSA для контейнеров | Рабочие нагрузки контейнеров Windows могут наследовать удостоверение узла контейнера и использовать его для проверки подлинности. При новых улучшениях узел контейнера не должен быть присоединен к домену. Дополнительные сведения см. в разделе интеграции gMSA для рабочих нагрузок Windows. |
Встроенные функции безопасности
В этом разделе описаны встроенные функции безопасности, доступные в AKS в Azure Arc.
| Цель безопасности | Функция |
|---|---|
| Защита доступа к серверу API. | Поддержка единого входа Active Directory для клиентов PowerShell и Windows Admin Center. Эта функция в настоящее время включена только для кластеров рабочих нагрузок. |
| Убедитесь, что все взаимодействие между встроенными компонентами Kubernetes плоскости управления безопасно. Это включает в себя обеспечение безопасности взаимодействия между сервером API и кластером рабочей нагрузки. | Ноль касания встроенного решения сертификата для подготовки, продления и отзыва сертификатов. Дополнительные сведения см. в разделе "Безопасный обмен данными с сертификатами". |
| Смена ключей шифрования хранилища секретов Kubernetes (etcd) с помощью подключаемого модуля сервера управления ключами (KMS). | Подключаемый модуль для интеграции и оркестрации смены ключей с указанным поставщиком KMS. Дополнительные сведения см. в разделе "Шифрование и т. д.". |
| Мониторинг угроз в режиме реального времени для контейнеров, поддерживающих рабочие нагрузки для контейнеров Windows и Linux. | Интеграция с Azure Defender для Kubernetes, подключенная к Azure Arc, которая предоставляется в качестве общедоступной предварительной версии до выпуска общедоступной версии обнаружения угроз Kubernetes для Kubernetes, подключенной к Azure Arc. Дополнительные сведения см. в статье "Защита кластеров Kubernetes с поддержкой Azure Arc". |
| Удостоверение Microsoft Entra для рабочих нагрузок Windows. | Используйте интеграцию gMSA для рабочих нагрузок Windows, чтобы настроить удостоверение Microsoft Entra. |
| Поддержка политик Calico для защиты трафика между модулями pod | Контейнеры взаимодействуют друг с другом по сети наложения. Администраторы могут настроить политики Calico для определения правил сетевой изоляции между контейнерами. Поддержка политики Calico в AKS Arc доступна только для контейнеров Linux и поддерживается как есть. |
Следующие шаги
В этом разделе вы узнали о концепциях защиты AKS, включенных Azure Arc, и о защите приложений в кластерах Kubernetes.