Segurança de cluster e aplicativo

Familiarize-se com os Security Essentials do Kubernetes e examine as diretrizes de configuração segura para clusters e segurança de aplicativo. A segurança do Kubernetes é importante durante todo o ciclo de vida do contêiner devido à natureza distribuída e dinâmica de um cluster de Kubernetes. Os aplicativos são tão seguros quanto o link mais fraco na cadeia de serviços que compõem a segurança do aplicativo.

Planejar, treinar e verificar

À medida que você começar, a lista de verificação do Security Essentials e os recursos de segurança do Kubernetes abaixo ajudarão a planejar operações de cluster e segurança de aplicativos. Ao final desta seção, você poderá responder a estas perguntas:

Lista de verificação de segurança:

• Familiarize-se com o Security Essentials white paper. Os principais objetivos de um ambiente de Kubernetes seguro são garantir que os aplicativos executados sejam protegidos, que os problemas de segurança possam ser identificados e tratados rapidamente, e que futuros problemas semelhantes serão impedidos. Para obter mais informações, consulte The Definitive Guide to Securing Kubernetes (White Paper).

• Examine a configuração de proteção de segurança para os nós de cluster. Um sistema operacional de host protegido por segurança reduz a área de ataque da superfície e permite a implantação segura de contêineres. Para saber mais, consulte Proteção de segurança em hosts da máquina virtual do AKS.

• Configure o controle de acesso de RBAC do Kubernetes (baseado em função do Kubernetes) Esse mecanismo de controle permite que você atribua usuários ou grupos de usuários, permissão para fazer coisas como criar ou modificar os recursos ou visualizar logs de cargas de trabalho de aplicativo.

  Para obter mais informações, consulte

  • SaibA sobre o controle de acesso baseado em função do Kubernetes (RBAC do Kubernetes) (vídeo)
    
  • Integrar a ID do Microsoft Entra com o Serviço Kubernetes do Azure
    
  • Limitar o acesso ao arquivo de configuração do cluster

Implantar na produção e aplicar as melhores práticas de segurança do Kubernetes

Ao preparar o aplicativo para produção, implemente um conjunto mínimo de melhores práticas. Use esta lista de verificação nessa fase. Ao final desta seção, você poderá responder a estas perguntas:

Lista de verificação de segurança:

• Controlar o acesso a clusters usando a associação de grupo. Configure o RBAC do Kubernetes (controle de acesso baseado em função do Kubernetes) para limitar o acesso a recursos de cluster com base na identidade do usuário ou na associação de grupo. Para obter mais informações, consulte Controlar o acesso a recursos de cluster usando identidades do Kubernetes RBAC e do Microsoft Entra.

• Crie uma política de gerenciamento de segredos. Implante e gerencie com segurança informações confidenciais, como senhas e certificados, usando o gerenciamento de segredos no Kubernetes. Para obter mais informações, consulte Saiba sobre o gerenciamento de segredos no Kubernetes (vídeo).

• Proteja o tráfego de rede intra-Pod com as políticas de rede. Aplique o princípio de privilégios mínimos para controlar o fluxo de tráfego de rede entre pods no cluster. Para obter mais informações, consulte Proteger o tráfego de intra-Pod com as políticas de rede.

• Restrinja o acesso ao servidor de API usando IPs autorizados. Melhore a segurança do cluster e minimize a superfície de ataque limitando o acesso ao servidor de API a um conjunto limitado de intervalos de endereços IP. Para obter mais informações, consulte Proteger o acesso ao servidor de API.

• Restringir o tráfego de saída do cluster. Saiba quais portas e quais portas e endereços permitir ao restringir o tráfego de saída para o cluster. É possível usar o Firewall do Azure oou um dispositivo de firewall de terceiros para proteger o tráfego de saída e definir as portas e os endereços necessários. Para saber mais, consulte Controlar o tráfego de saída para nós de cluster em AKS.

• Tráfego seguro com um WAF (firewall do aplicativo Web). Use o Gateway de Aplicativo do Azure como um controlador de entrada para clusters de Kubernetes. Para obter mais informações, confira Configurar o Gateway de Aplicativo do Azure como um controlador de entrada.

• Aplicar atualizações de segurança e kernel aos nós de trabalho. Compreender a experiência de atualização do nó AKS. Para proteger os clusters, as atualizações de segurança são aplicadas automaticamente aos nós do Linux no AKS. Essas atualizações incluem correções de segurança do SO ou atualizações de kernel. Algumas dessas atualizações exigem uma reinicialização do nó para concluir o processo. Para saber mais, confira Usar kured para reinicializar automaticamente os nós para aplicar atualizações.

• Configure um contêiner e uma solução de verificação de cluster. Examinar contêineres enviados por push no Registro de Contêiner do Azure e obter uma visibilidade mais profunda dos nós de cluster, do tráfego de nuvem e dos controles de segurança.

  Para saber mais, veja:

  • Integração do Registro de Contêiner do Azure com o Defender para Nuvem
    
  • Integração do Serviço de Kubernetes do Azure com o Defender para Nuvem

Otimizar e dimensionar

Agora que o aplicativo está em produção, como você pode otimizar seu fluxo de trabalho e preparar o aplicativo e a equipe para escala? Use a lista de verificação de otimização e colocação em escala para se preparar. Ao final desta seção, você poderá responder a esta pergunta:

Lista de verificação de segurança:

• Impor políticas de governança de cluster. Aplique imposições e proteções em escala nos clusters de maneira centralizada e consistente. Para saber mais, consulte Controlar implantações com Azure Policy.

• Gire os certificados de cluster periodicamente. O Kubernetes usa certificados para autenticação com muitos de seus componentes. Você pode querer alternar periodicamente esses certificados por motivos de segurança ou política. Para saber mais, consulte Girar certificados no AKS (Serviço de Kubernetes do Azure).