Рекомендации по управлению и защите образов контейнеров в Службе Azure Kubernetes (AKS)

Безопасность образов контейнеров и контейнеров является основным приоритетом при разработке и запуске приложений в Служба Azure Kubernetes (AKS). Контейнеры с устаревшими базовыми образами или незапамятными средами выполнения приложений представляют риски безопасности и возможные векторы атак. Эти риски можно свести к минимуму, интегрируя и выполняя средства сканирования и исправления в контейнерах во время сборки и выполнения. Чем раньше вы перехватываете уязвимость или устаревший базовый образ, тем безопаснее приложение.

В этой статье "контейнеры" относятся как к образам контейнеров, хранящимся в реестре контейнеров, так и к запущенным контейнерам.

Эта статья посвящается вопросам, связанным с безопасностью контейнеров в AKS. Узнайте следующие темы:

• Сканирование и устранение уязвимости образов.
• Автоматическое активирование и повторное развертывание образов контейнеров при обновлении базового образа.

• Вы можете ознакомиться с рекомендациями по обеспечению безопасности кластера и безопасности pod.
• Безопасность контейнеров можно использовать в Defender для облака для проверки контейнеров на наличие уязвимостей. Интеграция реестра контейнеров Azure с Центром безопасности защищает образы и реестр от уязвимостей.

Защита образов и среды выполнения

Рекомендации по рекомендациям

• Сканируйте образы контейнеров на наличие уязвимостей.
• Развертывайте только проверенные образы.
• Регулярно обновляйте базовые образы и среду выполнения приложения.
• Повторно развертывайте рабочие нагрузки в кластере AKS.

При внедрении рабочих нагрузок на основе контейнеров необходимо проверить безопасность образов и среды выполнения, используемых для создания собственных приложений. Чтобы избежать уязвимостей безопасности в развертываниях, можно использовать следующие рекомендации.

• Включите в рабочий процесс развертывания процесс сканирования образов контейнеров с помощью таких средств, как Twistlock или Aqua.
• Разрешите развертывание только проверенных образов.

Например, вы можете использовать конвейер непрерывной интеграции и непрерывного развертывания (CI/CD) для автоматизации сканирования, проверки и развертывания образов. Реестр контейнеров Azure включает в себя эти возможные сканирования уязвимости.

Автоматическое создание новых образов на основе обновления базового образа

Рекомендации по рекомендациям

Поскольку вы используете базовые образы для образов приложений, используйте автоматизацию для создания новых образов при обновлении базового образа. Поскольку обновленные базовые образы обычно включают исправления безопасности, обновите все образы контейнеров подчиненных приложений.

При каждом обновлении базового образа все нижестоящие образы контейнеров следует также обновить. Этот процесс сборки следует интегрировать в конвейеры проверки и развертывания, например в Конвейеры Azure или Jenkins. Эти конвейеры гарантируют, что приложения продолжают работать на обновленных образах. После проверки образов контейнеров приложения можно обновить развертывания AKS, чтобы запустить последние безопасные образы.

Задачи Реестра контейнеров Azure также могут автоматически обновлять образы контейнеров после обновления базового образа. С помощью этой функции вы создаете несколько базовых образов и обновляете их, добавляя исправления ошибок и безопасности.

Дополнительные сведения см. в статьи Руководство. автоматизации сборок образов контейнера при обновлении базового образа в службе "Реестр контейнеров Azure".

Следующие шаги

Эта статья посвящена вопросам безопасности контейнеров. Сведения о реализации некоторых из этих областей см. в следующей статье:

• Руководство. автоматизации сборок образов контейнера при обновлении базового образа в службе "Реестр контейнеров Azure"