叢集和應用程式安全性
熟悉 Kubernetes 安全性基本概念,並檢閱叢集和應用程式安全性指引的安全設定。 Kubernetes 安全性在整個容器生命週期中很重要,因為 Kubernetes 叢集的分散式動態本質。 應用程式只會與構成應用程式安全性的服務鏈結中最弱的連結一樣安全。
規劃、訓練和證明
當您開始使用時,下列安全性基本概念檢查清單和 Kubernetes 安全性資源可協助您規劃叢集作業和應用程式安全性。 在本節結束時,您將能夠回答下列問題:
- 您是否已檢閱 Kubernetes 叢集的安全性和威脅模型?
- 您的叢集是否已啟用 Kubernetes 角色型存取控制?
安全性檢查清單:
熟悉安全性基本概念白皮書。 安全 Kubernetes 環境的主要目標是確保執行的應用程式受到保護、可快速識別及解決安全性問題,以及防止未來的類似問題。 如需詳細資訊,請參閱
The Definitive Guide to Securing Kubernetes(白皮書)。檢閱叢集節點的安全性強化設定。 安全性強化的主機 OS 可減少攻擊介面區,並允許安全地部署容器。 若要深入瞭解,請參閱 AKS 虛擬機器主機 的安全性強化。
設定叢集 Kubernetes 角色型存取控制 (Kubernetes RBAC)。 此控制機制可讓您指派權限給使用者或使用者群組,以執行像是建立或修改資源,或檢視執行中應用程式工作負載的記錄等動作。
如需相關資訊,請參閱
部署至生產環境並套用 Kubernetes 安全性最佳做法
當您準備應用程式以供生產環境使用時,請實作一組最少的最佳做法。 在此階段使用此檢查清單。 在本節結束時,您將能夠回答下列問題:
- 您是否已設定輸入、輸出和 Pod 內部通訊的網路安全性規則?
- 您的叢集是否已設定為自動套用節點安全性更新?
- 您是否正在執行叢集和容器服務的安全性掃描解決方案?
安全性檢查清單:
使用群組成員資格控制叢集的存取權。 設定 Kubernetes 角色型存取控制 (Kubernetes RBAC) 以根據使用者身分識別或群組成員資格限制叢集資源的存取。 如需詳細資訊,請參閱 使用 Kubernetes RBAC 和 Microsoft Entra 身分 識別控制叢集資源的存取。
建立秘密管理原則。 使用 Kubernetes 中的秘密管理,安全地部署和管理敏感性資訊,例如密碼和憑證。 如需詳細資訊,請參閱 瞭解 Kubernetes 中的秘密管理(影片)。
使用網路原則保護 Pod 內部網路流量。 套用最低許可權原則來控制叢集中 Pod 之間的網路流量。 如需詳細資訊,請參閱 使用網路原則 保護 Pod 內部流量。
使用授權的 IP 限制對 API 伺服器的存取。 藉由將 API 伺服器的存取限制為一組有限的 IP 位址範圍,改善叢集安全性並將受攻擊面降到最低。 如需詳細資訊,請參閱 保護對 API 伺服器的 存取。
限制叢集輸出流量。 瞭解當您限制叢集的輸出流量時,允許的埠和位址。 您可以使用Azure 防火牆或協力廠商防火牆設備來保護輸出流量,並定義這些必要的埠和位址。 若要深入瞭解,請參閱 控制 AKS 中叢集節點的輸出流量。
使用 Web 應用程式防火牆 保護流量 (WAF)。 使用 Azure 應用程式閘道 作為 Kubernetes 叢集的輸入控制器。 如需詳細資訊,請參閱將 Azure 應用程式閘道設定為輸入控制器 。
將安全性和核心更新套用至背景工作節點。 瞭解 AKS 節點更新體驗。 為了保護您的叢集,安全性更新會自動套用至 AKS 中的 Linux 節點。 這些更新包括 OS 安全性修正或核心更新。 其中有些更新需要節點重新開機才能完成程式。 若要深入瞭解,請參閱 使用 Kured 自動重新開機節點以套用更新 。
設定容器和叢集掃描解決方案。 掃描推送至 Azure Container Registry 的容器,並深入瞭解叢集節點、雲端流量和安全性控制。
如需詳細資訊,請參閱
優化和調整
既然應用程式在生產環境中,您該如何優化工作流程,並準備應用程式和小組來調整規模? 使用優化和調整檢查清單來準備。 在本節結束時,您將能夠回答這個問題:
- 您可以大規模強制執行治理和叢集原則嗎?
安全性檢查清單:
強制執行叢集治理原則。 以集中式、一致的方式,在叢集上套用大規模強制執行和保護措施。 若要深入瞭解,請參閱 使用 Azure 原則 控制部署。
定期輪替叢集憑證。 Kubernetes 會使用憑證來驗證其許多元件。 基於安全性或原則原因,您可能會想要定期輪替這些憑證。 若要深入瞭解,請參閱 在 Azure Kubernetes Service 中輪替憑證(AKS)。